fusion tesis final marzo-26-2007-jb 0000...

- 110 -

BIBLIOGRAFÍA

LIBROS:

GUIA PRÁCTICA PARA EL DESARROLLO DE PLANES DE CONTINGENCIA DE

SISTEMAS DE INFORMACIÓN.

LIMA, FEBRERO 2001.

SEGURIDAD EN WINDOWS, KIT DE RECURSOS

MC GRAW HILL / INTERAMERICANA DE ESPAA

COPYRIGHT DE LA EDICIÓN ORIGINAL EN LENGUAJE INGLESA 2003 POR BEN

SMITH Y BRIAN KOMAR

PRIMERA EDICION

ANALISIS Y DISENO DE SISTEMAS

KENDALL & KENDALL

TERCERA EDICION 1997

MANUAL PARA LA FORMULACION Y EVALUACION DE PROYECTOS

BALBINO CAÑAS

TERCERA EDICIÓN

EDITORIAL E IMPRENTA DE LA UNIVERSIDAD DE EL SALVADOR

TESIS:

LABORATORIO VIRTUAL DE QUIMICA, Q-LAB

BEATRIZ GARCÍA / ÁLVARO MOYA / EDWIN QUINTEROS

UNIVERSIDAD FRACISCO GAVIDIA

- 111 -

REFERENCIAS DE INTERNET:

http://alerta-antivirus.red.es

http://es.wikipedia.org

http://www.definicion.org

http://www.lawebdelprogramador.com/

ANEXO - A

UNIVERSIDAD FRANCISCO GAVIDIA

FACULTAD DE INGENIERIA Y ARQUITECTURA

ENCUESTA FECHA: PAGINAS: 3

Dirigida a: Gerentes de informática y

administradores de red.

Para: La mediana y grande empresa de EL

SALVADOR.

DE:

Barahona Martínez, Juan Carlos

Jerez Menjivar, Eric Ricardo

Manzano Aparicio, Marcia Maribel

TEMA: “CD INTERACTIVO PARA APLICACION DE PLANES DE CONTINGENCIA Y SEGURIDAD

INFORMATICA ORIENTADO A LA MEDIANA Y GRAN EMPRESA EN EL SALVADOR”

Indicaciones: Subraye el literal que corresponda a la información de la empresa en la cual

se esta realizando el estudio.

1- Tipo de empresa

a) Mediana b) Grande

2- ¿Tiene plan de contingencia en el área de Informática?

a) Si b) No

3- ¿Tiene unidades de respaldo de energía eléctrica?

a) Si b) No

4- ¿Realiza respaldo de la información de los servidores principales?

a) Si b) No

5- ¿Utiliza estándares para la aplicación de seguridad informática?

a) Si b) No

6- ¿Utiliza firewall en su red?

a) Si b) No

7- ¿Utiliza Antivirus?

a) Si b) No

8- ¿Utiliza Software de detección de intrusos?

a) Si b) No

9- ¿Utiliza Software anti spam?

a) Si b) No

10- ¿Utiliza Software anti spy ware?

a) Si b) No

11- ¿Utiliza Software de autenticación para le ingreso de los usuarios a Internet?

a) Si b) No

12- ¿Utiliza herramientas de acceso remoto para la administración de los sistemas de

sus equipos?

a) Si b) No

13- ¿Utiliza una aplicación para la detección de vulnerabilidades?

a) Si b) No

14- ¿Realiza auditorias informática?

a) Si b) No

15- ¿Utiliza VPN?

a) Si b) No

16- ¿En que medio realiza su respaldo?

a) CD b) Zip drive c) Tape d) Disco duro Externo e) DVD

17- ¿Utiliza sistemas de almacenamiento externo (a disco duro IDE o SCSI)?

a) NAS b) SAM

18- ¿Están los servidores protegidos en una sala especial o gabinete?

a) Si b) No

19- ¿Cuentan con la instalación eléctrica adecuada donde se mantienen los

servidores?

a) Si b) No

20- Hacen verificación de los backups realizado?

a) Si b) No

Datos de la Empresa Encuestada

Nombre de la empresa:____________________________________________________

Nombre del encuestado: __________________________________________________

Giro de la empresa: ______________________________________________________

Datos del Encuestador:

Nombre del Encuestador:___________________________________F._____________

ANEXO - B

REPORTE DE EMPRESAS DE SAN SALVADOR Categoría de Contribuyente: MEDIANOS

No. Nit Nombre 1 01010310750017 CENTRO CLINICO HOSPITALARIO, S. A. DE C. V. 2 01010606800015 ASOC.COOP.DE PRODUCC.AGROPECUARIA EL ZACAMIL DE R.L. 3 01011609650015 ARIZ SILVA Y COMPAÑIA 4 01012309921013 TALLERES MUÑOZ, S. A. DE C. V. 5 01013110860018 COSANJE, SOC. COOP. DE R.L. 6 01110905790010 ASOC.COOP.DE APROVISIONAM.Y PRODUC.AGROPEC.EL JICARO DE RL 7 02021208870043 CARTAGUA, S. A. 8 02022010951012 SEARCH, S.A. DE C.V. 9 02023005891016 TIMPIX, S. A.

10 02030306800012 ASOC. COOP. DE PROD. AGROP. SAN RAFAEL EL PROVENIR DE R.L. 11 02031010911010 POTRERILLOS, S. A. DE C. V. 12 02072203951017 LEMUS Y LEMUS, SOCIEDAD ANONIMA DE CAPITAL VARIABLE 13 02100108700014 CLINICA DE EMERGENCIA OCCIDENTAL, S. A. 14 02100209911010 COMEDOR LAS PALMERAS, S. A. DE C. V. 15 02100403470012 CENTRO DE EMPLEADOS DE COMERCIO DE SANTA ANA 16 02100605881019 MACROA, S. A. DE C. V. 17 02100709870017 COMERCIAL BELLOSO S. A. DE C. V. 18 02100710660011 INDUST CALCETINERA SALVADOREÑA S.A. DE C.V. 19 02100807941013 SERVICABLE, S. A. DE C. V. 20 02101308530012 CLUB DEPORTIVO SANTANECO 21 02101406881014 CUESTAS HERMANOS, S.A. DE C.V. 22 02101506830012 PILAR, S.A. DE C.V. 23 02101512881015 PANORAMA, S.A. DE C.V. 24 02101803911019 NACE, S. A. DE C. V. 25 02102005690010 SOC. COLECTIVA CASTANEDA JACO Y COMPAÑIA 26 02102205911019 ABASTECEDORA DE RODAMIENTOS, S. A. DE C. V. 27 02102211790014 LOPEZ ALVAREZ Y CIA. 28 02102307921019 INDUSTRIAS HOTEL SAHARA, S. A. DE C. V. 29 02102403760012 COLEGIO LA ESPERANZA, S.A. DE C.V. 30 02102902880011 CENTRAL MOTRIZ, S. A. DE C. V. 31 02102906790016 GUERRERO'S, S.A. DE C.V. 32 02103112590010 TIPOGRAFIA COMERCIAL, S. A. DE C. V. 33 03062607800013 ASOC COOP AH CREDITO CONSUMO CTRAL IZALCO RL 34 03070804430026 CAJA DE CREDITO DE JUAYUA SOC. COOPERATIVA DE R.L. DE C.V. 35 03150108620010 MANUEL LARIN, Y CIA. 36 03151205600019 ESTACION TERMINAL AUTOBUSES SONSONATE, S. A. 37 03151903860011 PROBIERA, S.A. DE C.V. 38 03152110800016 ASOC. COOP. DE PROD. AGROP. SAN LUIS TAWILL DE R.L. 39 03152408911015 PROINVERSON, S. A. DE C. V. 40 03152611450014 DE MATHEU Y COMPAÑIA,S.A. DE C.V.

41 03152712881017 ALQUILERES Y SERVICIOS DIVERSOS, S. A DE C. V. 42 03153008650012 JEREZ SALAVERRIA HIJOS Y CIA.

43 04071005610018 CJA DE CRED. RURAL DE CHALATE. SOCIEDAD COOP. DE R.L. DE C.V. 44 04162511800017 ASOC.COOP. DE PRODUC. AGROP. STA ROSA NUMERO DOS DE R.L. 45 05011408911010 DELCA, S. A. DE C. V. 46 05011706840018 INVERSIONES ASTORIAS, S. A. DE C. V. 47 05110204680013 LOTIFICACIONES CUYAGUALO, S. A. DE C. V. 48 05110512911011 PRODUCTOS ALIMENTICIOS PARMA, S. A. DE C. V. 49 05110601951019 METROVISION, S. A. DE C. V. 50 05110605770013 CO INDUSTRIAS GIGANTE, S.A. DE C.V. 51 05110901931010 TOPCOM, S.A. DE C.V. 52 05110905881025 ESAL S. A. DE C. V. 53 05111004850013 SAIN, S.A. DE C.V. 54 05111008480010 SOC. HERMANAS BETHANIA 55 05111401580014 GUIROLA VALVERDE Y CIA 56 05111709850012 PRO SEGUROS, S.A. DE C.V. 57 05111801911018 CAFEVAN, S. A. DE C. V. 58 05112004911017 SANTA EMILIA, S. A. DE C. V. 59 05112206921014 COMERCIAL CASA BLANCA, S.A. DE C.V. 60 05112507891013 URIMAR, S. A. DE C. V. 61 05112610830014 LOTIVERSA, S.A. DE C.V. 62 05112706911015 COMBUSTIBLES Y LUBRICANTES, S. A. DE C. V. 63 05112706921010 A F COMERCIAL, S. A. DE C. V. 64 05112912870010 ARYES, S. A. DE C. V. 65 05113005750012 INDUSTRIAS METALICAS MARENCO, S. A. DE C. V. 66 05120206800010 ASOC. COOP. DE PRODUC. AGROP. LAS MERCEDES DE R.L. 67 05120506801021 ASOC.COOPERATIVA DE PRODU. AGROPECUARIA TACACHICO DE RL 68 05121608420012 CAJA DE CREDITO DE QUEZALTEPEQUE SOC. COOP. DE R.L. DE C.V. 69 05133005800015 ASOC. COOPE. DE PRODU. AGROPECUARIA SAN FERNANDO DE R.L. 70 05151807870017 A.C.A.P.I.L.L. DE R. L. 71 05160406800017 ASOC. COOP. DE PRODUCCION AGROPECUARIA SN LORENZO DE R. L. 72 05221711881012 CARFLO S. A. DE C. V. 73 06010406800018 ASOC. COOP. DE PRODUCCION AGROPECUARIA "LOS MANGOS" DE R.L. 74 06050606800014 ASOC. COOP. DE PRODUC. AGROP. EL SOCORRO DE R.L. 75 06071805830017 FERSA, S.A. DE C.V. 76 06072103830016 AVIASA, S. A. DE C. V. 77 06080607840019 PRODUCTOS EL ENCANTO S. A. DE C. V. 78 06082306730016 RADIO EL MUNDO, S. A., DE C. V. 79 06132202530012 CAJA DE CREDITO DE SAN MARTIN SOC. COOP. DE R.L. DE C. V. 80 06140101911037 SEGOVIA GUANDIQUE QUINTANILLA, S. A. DE C. V. 81 06140102881018 INAMER, S. A. DE C. V. 82 06140102881026 COMARA, S. A. DE C. V. 83 06140102891021 LA HORMIGA, S. A. DE C. V. 84 06140102901019 CAL. BROS, S. A. DE C. V. 85 06140102911014 INSUMOS, PRODUCTOS Y SERVICIOS, S. A. DE C. V. 86 06140103750012 CANAHUATI Y COMPAÑIA 87 06140103750024 ACCIONES CONSOLIDADAS, S. A. DE C. V. 88 06140103780041 PLAZA DEL SOL, S. A. DE C. V. 89 06140103790010 BATERSUPERCA, S.A. DE C.V.

90 06140103850031 LI ROMA, S.A. DE C.V.

91 06140103901012 DISTRIBUIDORA PETROMATERIALES CARDONA, S. A. DE C. V. 92 06140103911018 SUMINISTRO INDUSTRIAL DE EQUIPO Y FERRETERIA, SA DE CV 93 06140103941014 FRUZCO EL SALVADOR, S. A. DE C. V. 94 06140104921076 INSACOR, S. A. DE C. V. 95 06140105730028 PINTURAS CACERES, S. A. DE C. V. 96 06140106830020 BILLCA, S. A. DE C. V. 97 06140106921022 BOREAL, S. A. DE C. V. 98 06140107640055 REPRESENTACIONES ARCA, S. A. 99 06140107690022 CASA RIVAS, S.A. DE C.V. 100 06140107800010 SAN GABRIEL, S. A. DE C. V. 101 06140107800022 EUFEMIA, S. A. DE C. V. 102 06140107860020 COMERCIAL DON CHEPITO, S.A. DE C.V. 103 06140107921026 SERRANO VALLECILLOS INVERSIONES, S. A. DE C. V. 104 06140107941051 IMPRESOMATIC, S. A. DE C. V. 105 06140108770013 SAN BUENAVENTURA, S. A. DE C. V. 106 06140108830022 JURISAL, S.A. DE C.V. 107 06140108840015 DUZELPA, S.A. DE C.V. 108 06140108901010 OFFIMET, S. A. DE C. V. 109 06140109630016 AGUIRREURRETA HERMANOS, S.A DE C.V. 110 06140109720029 VEGA HUEZO Y COMPAÑIA 111 06140109750034 LABORATORIO CLINICO ESPECIALIZADO, S. A. 112 06140109770033 PAN LOURDES, S.A. DE C.V. 113 06140109800013 AICA, S. A. DE C. V. 114 06140109921031 F. RODRIGUEZ PORTH, S. A. DE C. V. 115 06140109921058 PRODUCTOS EMBUTIDOS QUECO'S , S. A. DE C. V. 116 06140110110010 DIRECCION DE SERVICIOS GRAFICOS 117 06140110820012 AUTO RADIADORES, S.A. DE C.V. 118 06140111830025 PROMERCAN, S. A. DE C. V. 119 06140111901021 ARMIDA, S. A. DE C. V. 120 06140112830010 DOSE, S. A. DE C. V. 121 06140201901012 CORPORACION PUNTA ARENAS, S. A. DE C. V. 122 06140202740010 PROMOCIONES DIVERSAS, S. A. 123 06140202931012 ASA, S. A. DE C. V. 124 06140202931020 PITTA VAIRO, S. A. DE C. V. 125 06140202931055 RAFAEL VEGA GOMEZ, S. A. DE C. V. 126 06140202951013 COMUNICACIONES INTEGRADAS, S.A. DE C.V. 127 06140203760039 AGROINDUSTRAL SOCIEDAD COOPERATIVA DE R. L. 128 06140203830030 LABORATORIO CLINICO SN JUAN, SOC. ANONIMA DE CAP. VARIABLE 129 06140204870035 INVERSIONES TAURO, S. A. DE C. V. 130 06140204870047 CONSTRUCTORA FUNES, S. A. DE C. V. 131 06140205941035 SERVICIOS Y DISTRIBUIDORES INDUSTRIALES, S. A. DE C. V. 132 06140206760014 DISTRIBUIDORA DE PRODUCTOS QUIMICOS, S. A. DE C. V. 133 06140208710014 EL AVE FENIX, S. A. DE C. V. 134 06140208881017 CONSULTORES VENTURA, S.A. DE C.V. 135 06140208911021 COPROINSA, S. A. DE C. V. 136 06140209770031 TINOCO BELKNAP Y COMPAÑIA 137 06140209941021 ASOC. DE TRAB.DE AVICOLA SALV., S.A. DE C.V. Y FILIALES 138 06140210870025 AGROS Y PECUARIOS, S. A. DE C. V.

139 06140212630017 CONDE, S. A. DE C. V. 140 06140212850054 MULTIFRENOS, S.A. DE C.V. 141 06140212870016 ORG TEC. DE INSTALACIONES Y SERVICIOS, S.A. 142 06140212931045 SALVADOREÑA DE VALORES, S.A DE C.V. CORREDORES DE BOLSA 143 06140212951011 SEGURIDAD PRIVADA SALVADOREÑA, S.A DE C.V. 144 06140301830012 GALAXIA DEPORTES S.A. DE C.V. 145 06140301850011 ZETA L INVERSIONES, S. A. DE C. V. 146 06140302780028 CREDI CENTRO, S.A. DE C.V. 147 06140302870017 ACEROSAL, S.A. DE C.V. 148 06140302891018 CIEN MIL LLAVES S. A. DE C. V. 149 06140303520014 COMPAÑIA MERCANTIL INTERCONTINENTAL, SA DE CV 150 06140303881024 MOLDEADOS SALVADOREÑOS, S.A. DE C.V. 151 06140304730016 RICARDO HERNANDEZ, S. A. DE C. V. 152 06140304740010 LABORATORIOS REAL, S. A. DE C. V. 153 06140304820017 CREACIONES VICHE SOLIS, S.A. DE C.V. 154 06140304870021 SIPREIN, S.A. DE C.V. 155 06140304891015 COMPAÑIAS MARITIMAS DE EL SALVADOR, S. A. DE C. V. 156 06140304891031 PROCESOS DIVERSOS, S. A. DE C. V. 157 06140304901037 ENRIMAR, S. A. DE C.V. 158 06140304921038 EMPRESAS MATA, S.A. DE C.V. 159 06140305720018 PISOS Y RESINAS, S A DE C V 160 06140305850054 PROCESAL, S.A. DE C.V. 161 06140306850049 ALTAMONTE, S. A. DE C. V. 162 06140306941036 PENTACOM, S. A. DE C. V. 163 06140307780020 SERVYCONSA, S. A. DE C. V. 164 06140307911017 CONSTRUCTORA PLICO, S. A. DE C. V. 165 06140307911025 FACTURAS Y DESCUENTOS, S. A. DE C. V. 166 06140307961022 DISTRIBUIDORA DEPORTIVA, S. A. DE C. V. 167 06140309860042 MONTAGRI, S. A. DE C. V. 168 06140309921044 M.S. IMPRESORES, S. A. DE C. V. 169 06140309921060 CORPORACION DENISSE, S.A. DE C.V. 170 06140311881017 GOMEZ FARFAN, S. A. DE C. V. 171 06140311941010 MULTISERVICIOS E INVERSIONES, S.A. DE C.V. 172 06140312810030 LA LUCERNA, S.A. DE C.V. 173 06140312850015 ESCORPION, S.A. DE C.V. 174 06140401710041 RADIO CADENA CENTRAL, S.A. 175 06140401850021 REX, S.A. DE C.V. 176 06140401880037 MYSEL, S.A. DE C.V. 177 06140402770021 PROMOTORA DE ORIENTE, S.A. 178 06140402911024 UNIVERSAL DE SERVICIOS Y EQUIPOS S.A. DE C.V. 179 06140402921054 ORFRAMA, S. A. DE C. V. 180 06140402921062 SANDY'S CARDS AND GIFTS, S.A. DE C.V. 181 06140403870072 MII, S.A. DE C.V. 182 06140404840014 INTERMUNDIAL, S. A. DE C. V. 183 06140405921012 SERVICIO INDUSTRIAL M Y M, S. A. DE C. V. 184 06140406941017 NESKAZARRA, S. A. DE C. V. 185 06140407881034 PARCEL & LAND, S. A. DE C. V. 186 06140407881042 EL EXCLUSIVO, S. A. DE C. V. 187 06140407891030 INVERSIONES DUMA, S. A. DE C. V. 188 06140409840030 TRANSPORTES CARBONELL, S. A. DE C. V.

189 06140409850034 MADECORT, S.A. DE C.V. 190 06140409901075 TRIPLE UNO, S. A. DE C. V. 191 06140409921017 MADERAS, S. A. DE C. V. 192 06140411780015 G A L O, S. A. DE C. V. 193 06140412840020 AGROPECUARIA LA CONCORDIA, S. A. DE C. V. 194 06140501670016 RETECSA, S.A. DE C.V. 195 06140502770018 NOVO APART HOTEL, S.A. DE C.V. 196 06140502870025 MULTIRESTAURANTES, S.A. DE C.V. 197 06140502921086 DISTRIBUIDORA METALURGICA, S. A. DE C. V. 198 06140503921055 INGENIERIA EN SISTEMAS DE COMPUTACION, S. A. DE C. V. 199 06140504670015 FILAMENTOS Y PERFILES, S. A. 200 06140505790016 VASQUEZ, S.A. DE C.V. 201 06140506720010 YSU TV CANAL CUATRO, S. A. 202 06140506911050 ASESORIAS Y SERVICIOS PROFESIONALES, S.A. DE C.V. 203 06140506951044 RINSA, S. A. DE C. V. 204 06140507690013 CRUZ Y CO. DE C.V. 205 06140507830042 DIPIMO, S.A. DE C.V. 206 06140507881015 EL UNICO, S. A. DE C. V. 207 06140509860013 ARIAN, S.A. DE C.V. 208 06140509881012 COCA GALDAMEZ, S. A. DE C. V. 209 06140509911019 INVERSIONES Y PROYECTOS DEL PACIFICO, S. A. DE C. V. 210 06140509941023 MAXIMA TECNOLOGIA, S. A. DE C. V. 211 06140509941074 ZUMAR, S. A. DE C. V. 212 06140510840038 PRODUCTOS REGAL, S. A. DE C. V. 213 06140510881034 EL MUNDO FELIZ, S. A. DE C. V. 214 06140510891021 ARQUITECTURA TRANZO, S. A. DE C. V. 215 06140510901019 SABORES INSTANTANEOS SALVADOREÑOS, S.A. DE C.V. 216 06140511911026 KALPATARU, S. A. DE C. V. 217 06140512840030 NR CONSULTORES ASOCIADOS, S.A. DE C.V. 218 06140512860028 AMGASAL, S.A. DE C.V. 219 06140602860029 ALFAGAL SOCIEDAD ANONIMA DE CAPITAL VARIABLE 220 06140602921016 PRODLAC PALMERA, S. A. DE C. V. 221 06140602931020 METROCREDITO, S. A. DE C. V. 222 06140603650018 HUGUET E HIJO Y CIA. 223 06140604740015 TINTAS EL SALVADOR, S.A. DE C.V. 224 06140604891041 CENTRO ELECTRICO TECLEÑO, S. A. DE C. V. 225 06140604891050 POLLOS REAL, S. A. DE C. V. 226 06140604931019 RAJAC, S. A. DE C. V. 227 06140605941042 INVERSIONES EL TUCAN, S. A. DE C. V. 228 06140606830032 BRONCES, S.A. DE C.V. 229 06140606911031 GILGAL, S. A. DE C. V. 230 06140606951050 FONDO DE ACTIVIDADES ESP.DE LA RADIO CADENA CUSCATLAN 231 06140607891018 AGRO INDUSTRIAS ESCO BARR, S. A. DE C. V. 232 06140607901030 MOBILIARIO Y DECORACION CONTRATISTAS, S.A. DE C.V. 233 06140607901048 PARCELACIONES UNIVERSALES, S. A. DE C. V. 234 06140609911016 BOLIVAR TRADING (EL SALVADOR), S. A. DE C. V. 235 06140609931033 HIELO PALMERA, S. A. DE C. V. 236 06140609941039 VIDRIOS CENTROAMERICANOS, S. A. DE C. V. 237 06140610830020 AUTO REPUESTOS RACING, S.A. DE C.V. 238 06140611580022 ASOCIACION SALVADOREÑA DE INDUSTRIALES 239 06140611921037 POLICLINICA VETERINARIA, S.A. DE C.V.

240 06140612760019 LABORATORIO MEDICO CENTRAL, S. A. DE C. V. 241 06140612820028 DIVISA, S. A. DE C. V. 242 06140612840039 IMESAL, S. A. DE C. V. 243 06140612891018 EL AMATE, S. A. DE C. V. 244 06140612911027 DEYCAR, S. A. DE C. V. 245 06140612911108 SERVIPERSONAL, S. A. DE C. V. 246 06140701560012 REGISTROS DE ADUANA S. A. DE C. V. 247 06140701590016 BAHAIA Y CIA. 248 06140701770020 INVERSIONES CULTURALES, S. A. DE C. V. 249 06140701780024 EL PROGRESO, S.A. DE C.V. 250 06140701840010 I DUSA, S. A. DE C. V. 251 06140701850026 SALAZAR MENDEZ Y COMPAÑIA 252 06140701941037 COMPAÑIA IMPRESORA SALVADOREÑA, S. A. DE C. V. 253 06140701941070 COMPRUEBA, S. A. DE C. V. 254 06140702670019 LA MASCOTA, S.A. DE C.V. 255 06140702891033 KOSMETIKA INTERNACIONAL, S. A. DE C. V. 256 06140702921030 LONAS DECORATIVAS, S. A. DE C. V. 257 06140702941014 CERAMIX, S. A. DE C. V. 258 06140703780027 ERNESTINA CASTRO S.A. DE C.V. 259 06140703810020 LINDA TRAVEL AGENCY, S. A. DE C. V. 260 06140703901032 F-C, S. A. DE C. V. 261 06140704870024 MOVAT, S.A. DE C.V. 262 06140704921029 EL JABALI, S. A. DE C. V. 263 06140705911027 AGRICOLA CIMARRON, S. A. DE C. V. 264 06140706891011 PROYECTOS DE METAL MECANICA S. A. DE C. V. 265 06140706901033 PROCESOS DEL PAN, S. A. DE C. V. 266 06140706931056 VILLEDA HERMANOS, S. A. DE C.V. 267 06140707921011 CONDIMENTOS Y ESPECIAS, S. A. DE C. V. 268 06140707921046 ALFARO PALACIOS, S. A. DE C. V. 269 06140707931076 INSATELSA LTDA. SUCESORES 270 06140708800016 RIDI, S. A. DE C. V. 271 06140709790018 HISPALIA, S.A. DE C.V. 272 06140710850015 STEREO MI PREFERIDA, S.A. DE C.V. 273 06140710881012 PRODUCTOS MELOW, S. A. DE C. V. 274 06140710911035 DIEGO ESCALANTE, S. A. DE C. V. 275 06140712790010 AGENCIA COMERCIAL ADUANERA, S.A. DE C.V. 276 06140712881010 NOVA CORP, S. A. DE C. V. 277 06140712881095 ABRAHAM CONSTANTINO CHAHIN, S. A. DE C. V. 278 06140712891015 CORPORACION MC, S. A. DE C. V. 279 06140801921017 IMPRENTA A-Z, S. A. DE C. V. 280 06140802650018 INVERSIONES FARMACEUTICAS CENTRAL, S. A. DE C. V. 281 06140802730038 INVERSIONES SAN LUIS, S. A. DE C. V. 282 06140802860049 PEREZ SALEH, S.A. DE C.V. 283 06140802880048 VINSAR, S. A. DE C. V. 284 06140802891022 J. A. ZETINO, INGENIEROS CONTRATISTAS, S. A. DE C. V. 285 06140802891030 PLUS CHEMICAL, S. A. DE C. V. 286 06140803790018 ANLE, S. A. DE C. V. 287 06140803820011 LAS ROSAS, S. A. DE C. V. 288 06140803901013 LABORATORIO ALVAREZ ALEMAN, S. A. DE C. V. 289 06140803911035 SENSACIONES, S. A. DE C. V.

290 06140803931079 HASBUN ZAMORA, S. A. DE C. V. 291 06140803941023 KAMAKURA, S. A. DE C. V. 292 06140804921018 IMPORTADORA VENTURA ESCOBAR, S. A. DE C. V. 293 06140805870017 PASARI, S.A. DE C.V. 294 06140805901045 SERVICIOS AUTORIZADOS DE REPARACION, S. A. DE C. V. 295 06140805901053 BATRE BENDI, S. A. DE C. V. 296 06140806891019 SEÑOR TENEDOR, S. A. DE C. V. 297 06140806901014 INVERSIONES CRUYA, S. A. DE C. V. 298 06140807770026 MAPRIMA, S.A. DE C.V. 299 06140807770038 SERVICIOS EDUCATIVOS MAPLE, S.A. DE C.V. 300 06140807770040 INDUSTRIAS AMERICANAS, S. A. DE C. V. 301 06140807881041 ZAMI, S.A. DE C.V. 302 06140807881068 PROFESIONALES DE SALUD, S. A. DE C. V. 303 06140807891012 ENERGIA ELECTRICA, S. A. DE C. V. 304 06140808770034 COMERCIAL SABAS, S. A. DE C. V. 305 06140808881010 ELECTROMEDICA, S.A. DE C.V. 306 06140808911017 OMNI EQUIPOS, S. A. DE C. V. 307 06140808941021 CORPORACION INTERMODA, S. A. DE C. V. 308 06140809921024 NUTRI ALIMENTOS, S.A. DE C.V. 309 06140809931046 GERSON, S. A. DE C. V. 310 06140809941017 OGACI, SOCIEDAD ANONIMA DE CAPITAL VARIABLE 311 06140810750018 INMOBILIARIA SOFIA S.A. DE C.V. 312 06140811850033 INVERSIONES MAGICO, S. A. DE C. V. 313 06140811911028 IMPORTACIONES SANTA LUCIA, S. A. DE C. V. 314 06140812710012 MANUEL ATILIO GUANDIQUE Y CIA. 315 06140812720017 PROYECTISTAS ELEC. MECANICOS E INDUSTS. S A 316 06140812870015 EDIFICACIONES CANADA, S. A. DE C. V. 317 06140812901018 TELCOM, S. A. DE C. V. 318 06140812921027 PARCELACIONES CALIFORNIA, S. A. DE C. V. 319 06140812931049 INVERSIONES FINANCIERAS BANCOSAL, S.A. 320 06140812931111 CORPORACION LAS GEMELAS, S. A. DE C. V. 321 06140901951045 CUELLAR INGENIEROS, S.A. DE C.V. 322 06140901951070 ACOSERVI, S. A. DE C. V. Categoría de Contribuyente: GRANDE

No. Nit Nombre

1 01010406800019 ASOC. COOP DE PRODU. AGROPECUARIA LA LABOR DE R.L. 2 01012112700019 ING. JOSE ANTONIO SALAVERRIA Y CO. DE C.V. 3 01113103800013 ASOC. COOP. DE PROD. AGROINDUS. "EL PROGRESO" DE R.L. 4 02033110660019 SOC. COOP.CHALCHU DE PRODUCT. DE CAFE,CUZCACHAPA 5 02040306800024 ASOC. COOP. DE PROD AGROPECUARIA " LOS PINOS" DE R.L. 6 02040603800018 ASOC. COOP. DE PRODUC. AGROP. DE LA PRESA DE R.L. 7 02100106710016 ALMACENES BOU, S.A. DE C.V. 8 02100409220017 RIO ZARCO, S.A. DE C.V. 9 02101203640012 IMPLEMENTOS AGRICOLAS CENTROAMERICANOS, S.A. DE C.V.

10 02101207920015 AES CLESA Y COMPAÑIA, S. EN C. DE C. V.

11 02101911710016 ALMACENES VIDRI, S.A. DE C.V. 12 02102603710016 RAF, S.A. DE C.V. 13 02102702891013 ESMAR, S. A. DE C. V. 14 02102806830016 BASAMAR, S. A. DE C. V. 15 03062805800029 ASOC COOP DE PROD. AGROPECUARIA ATAISI DE R.L. 16 03070606800019 ASOC. COOP. DE PROD. AGROP. LAS LICTORIAS DE RL 17 03070705670011 COOP DE CAFETALEROS DE SAN JOSE LA MAJADA DE R.L. 18 03072912720017 SOC COOP DE CAFICULTORES DE JUAYUA, DE R. L. 19 03120306800015 ASOC. COOP. DE PRODU AGROP. LOS LAGARTOS DE R. L. 20 03150108530019 LARIN E HIJOS Y CO. 21 03151906550010 COOPERATIVA GANADERA DE SONSONATE DE R. L. 22 05030603800013 ASOC.COOP. DE PROD AGROPECUARIA AGUA FRIA, DE R.L. 23 05031006800012 ASOC COOP DE PROD AGROPECUARIA PASATIEMPO DE R.L. 24 05040506800014 ASOC COOP DE PROD AGROPECUARIA STA ADELAIDA DE R.L. 25 05100506800015 ASOC.COOP. DE PROD. AGROP. CAFETAL FLORENCIA, DE R.L. 26 05110101891010 J. HUMBERTO ROSA, S.A. DE C.V. 27 05110108740018 INSTITUTO TECNOLOGICO CENTROAMERICANO 28 05110307630018 KIMBERLY-CLARK DE CENTRO AMERICA, S.A. 29 05110402951018 BANCO PROMERICA, S.A. 30 05110601650013 TACOPLAST,S.A. DE C.V. 31 05110610820011 AGROSERVICIO EL SURCO, S. A. DE C. V. 32 05111112690013 DISTRIBUIDORA ZABLAH,S.A. DE C.V. 33 05111912911017 NEGOCIOS DE CAFE ZARCO, S.A. DE C.V. 34 05112602901018 FOMENTO RURAL INMOBILIARIO, S.A. DE C.V. 35 05112807580014 SUMMA INDUSTRIAL, S. A. DE C. V. 36 05113004570014 ASOCIACION INSTITUCION SALESIANA 37 05113110810013 AUTO INVERSIONES, S.A. DE C.V. 38 06072205730011 INDUSTRIA DE HILOS, S. A. DE C. V. 39 06081712710012 HERNANDEZ HERMANOS, S.A. DE C.V. 40 06140101480029 EL CENTRO TEXTIL, S.A. DE C.V. 41 06140101650014 LOS ABETOS, S.A. DE C.V. 42 06140101680018 J. A. APARICIO, S. A. DE C. V. 43 06140101680020 EL GRANJERO, S.A. 44 06140101770019 TUBOS Y PERFILES PLASTICOS, S.A. DE C.V. 45 06140101810017 BON APPETIT, S.A. DE C.V. 46 06140101820011 CORPORACION SALVADOREÑA DE INVERSIONES (CORSAIN) 47 06140102630023 J WALTER THOMPSON, S. A. DE C. V. 48 06140102931058 ETERRNA, S.A. DE C.V. 49 06140103250015 ALMACENES SCHWARTZ, S.A. DE C.V. 50 06140103620013 AGAVE, S. A. DE C. V. 51 06140103660011 LUBRICANTES TEXACO S.A. 52 06140104620021 TALLER DIDEA, S.A. DE C.V. 53 06140104630014 MC CANN-ERICKSON CENTROAMERICANA (EL SALVADOR), S.A. 54 06140104670012 SIEMENS, S.A. 55 06140104670024 ALCATEL DE EL SALVADOR,S.A. DE C.V. 56 06140104680029 SERVICIO AGRICOLA SALVADOREÑO, S.A. DE C.V. 57 06140104740014 TRADER, S.A. DE C.V. 58 06140105350013 LA CONSTANCIA, S.A. 59 06140105500011 DELICIA,S.A. DE C.V. 60 06140105560020 AMANCO EL SALVADOR, S. A. 61 06140106710013 ELECTRONICA Y COMUNICACIONES, S. A. DE C. V.

62 06140106710049 COMPAÑIA PANAMEÑA DE AVIACION, S.A. 63 06140106911035 ELSY'S CAKES, S. A. DE C. V. 64 06140107740025 BANCO DE FOMENTO AGROPECUARIO 65 06140107740050 CAMARA DE COMERCIO E INDUSTRIA DE EL SALVADOR 66 06140107911039 COMPAÑIA SALVADOREÑA DE SEGURIDAD S.A DE C.V. 67 06140107941019 CARTONERA CENTROAMERICANA, S. A. DE C. V. 68 06140108580017 FREUND DE EL SALVADOR, S.A. DE C.V. 69 06140108740010 INDUSTRIAS CRISTAL DE CENTRO AMERICA, S.A. 70 06140109590020 PUBLICIDAD COMERCIAL, S.A. DE C.V. 71 06140109780014 LICORES DE CENTROAMERICA, S.A. 72 06140109860010 TELESISTEMAS, S.A. DE C.V. 73 06140109921040 EMPRETUR, S.A. DE C.V. 74 06140110880010 LIEBES, S. A. DE C. V. 75 06140111800010 BENEFICIO SAN CRISTOBAL, S. A. DE C. V. 76 06140112450017 MARTINEZ Y SAPRISSA,S.A. DE C.V. 77 06140202620015 MOORE DE CENTRO AMERICA, S.A. DE C.V. 78 06140204740024 LA NUEVA AVICOLA, S.A. DE C.V. 79 06140204810014 MUNDO DE LOS FRENOS Y REPUESTOS, S.A. DE C.V. 80 06140206710011 COMERCIAL PRECO,S.A. DE C.V. 81 06140206921046 CONVENIENCE STORE, S.A. DE C.V. 82 06140207740011 BIDECA,S.A. DE C.V. 83 06140208550011 COMPAÑIA GENERAL DE SEGUROS, S.A. 84 06140209630014 ALUMINIO DE CENTROAMERICA, S.A. DE C.V. 85 06140209710022 MARINA INDUSTRIAL,S.A. DE C.V. 86 06140209931034 GENERAL AUTOMOTRIZ, S.A. DE C.V. 87 06140210891046 ALKEMY EL SALVADOR, S.A. DE C.V. 88 06140212680010 MCCORMICK DE CENTRO AMERICA, S.A. DE C.V. 89 06140302891026 FORMULARIOS STANDARD, S.A. DE C.V. 90 06140305670015 PAVOS, SOCIEDAD ANONIMA 91 06140306640018 DISTRIBUIDORES RENA WARE, S.A. DE C.V. 92 06140306830038 COMUNICACIONES DE BANDA ANCHA, S. A. DE C.V. 93 06140308600012 EMPRESAS LACTEAS FOREMOST, S.A. DE C.V. 94 06140309760011 PRODUCTOS TECNOLOGICOS,S.A. DE C.V. 95 06140310350015 DUTRIZ HERMANOS, S.A. DE C.V. 96 06140311941060 PREFABRICADOS INTERNACIONALES, S. A. DE C. V. 97 06140312921063 FRUTERIA VIDAURRI, S. A. DE C. V. 98 06140312931018 BANCO DE AMERICA CENTRAL, S.A. 99 06140402710012 TERMOENCOGIBLES, S.A. DE C.V. 100 06140403530017 TENERIA SALVADOREÑA,S.A. DE C.V. 101 06140403810014 HENKEL DE EL SALVADOR, S.A. DE C.V. 102 06140403891027 DISTRIBUIDORA MENENDEZ, S.A. DE C.V. 103 06140403981026 AFP CRECER, S.A. 104 06140403981034 ADMINISTRADORA DE FONDOS DE PENS. PROFUTURO, S.A. 105 06140403981050 ADMINISTRADORA DE FONDOS DE PENSIONES CONFIA, S.A. 106 06140404600015 DISTRIBUIDORA SHELL DE EL SALVADOR, S.A. 107 06140404790047 LANCASCO SALVADOREÑA, S.A. DE C.V. 108 06140405881037 EDITORIAL METAPANECA, S.A. DE C.V. 109 06140405891016 COSMETICOS Y MODAS, S.A. DE C.V. 110 06140405901020 AVIMAC, S.A DE C.V. 111 06140406680014 GOLDTREE, S.A. DE C.V. 112 06140406790014 UNIPHARM DE EL SALVADOR, S.A. DE C.V.

113 06140408850014 EL BORBOLLON, S.A. DE C.V. 114 06140409630010 COMPAÑIA BRISTOL-MYERS SQUIBB DE CENTRO AMERICA 115 06140409670019 STEINER,S.A. DE C.V. 116 06140410650010 CARTOTECNICA CENTROAMERICANA,S.A. 117 06140501350010 OVIDIO J.VIDES, S.A. DE C.V. 118 06140501680010 AVICOLA MONTSERRAT,S.A. DE C.V. 119 06140504670027 GRUPO 20/20, S.A. DE C.V. 120 06140504740017 LA CASA CASTRO, S.A. DE C.V. 121 06140504840048 ASOCIACION AGAPE DE EL SALVADOR 122 06140504881022 DISEÑOS Y CONSTRUCCIONES CIVILES, S.A. DE C.V. 123 06140506891025 TECNO AVANCE, S.A. DE C.V. 124 06140507560026 DESTILERIA SALVADOREÑA, S.A DE C.V 125 06140509941015 BANCO UNO, S.A. 126 06140510560017 PROYECTOS INDUSTRIALES,S.A. DE C.V. 127 06140510820027 AVANCE INGENIEROS, S.A. DE C.V. 128 06140510881026 GUILLEN Y ASOC SOCIEDAD ANONIMA DE CAPITAL VARIABLE

ANEXO – C

Área bajo la curva normal.

http://www.universidadabierta.edu.mx/SerEst/Apuntes/VelascoRoberto_EstadistInferenci

al.htm

ANEXO – D

GLOSARIO TECNICO Listado de palabras técnicas utilizadas:

Acceso: Es la recuperación o grabación de datos que han sido almacenados en un

sistema de computación. Cuando se consulta a una base de datos, los datos son

primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del

terminal.

ADWARE: Son aquellos programas que tienen la particularidad de incluir publicidad a

cambio de su total gratuidad en su utilización

Amenaza: Cualquier cosa que pueda interferir con el funcionamiento adecuado de una

computadora personal, o causar la difusión no autorizada de información confiada a una

computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios

descuidados.

Ataque: Término general usado para cualquier acción o evento que intente interferir

con el funcionamiento adecuado de un sistema informático, o intento de obtener de

modo no autorizado la información confiada a una computadora.

Ataque Activo: Acción iniciada por una persona que amenaza con interferir el

funcionamiento adecuado de una computadora, o hace que se difunda de modo no

autorizado información confiada a una computadora personal.

Ataque Pasivo: Intento de obtener información o recursos de una computadora

personal sin interferir con su funcionamiento, como espionaje electrónico, telefónico o

la intercepción de una red. Todo esto puede dar información importante sobre el

sistema, así como permitir la aproximación de los datos que contiene.

Base de Datos: Una base de datos es un conjunto de datos organizados, entre los cuales

existe una correlación y que además, están almacenados con criterios independientes de

los programas que los utilizan.

Caballo de Troya: El intruso coloca un código dentro del sistema que le permita

accesos posteriores no autorizados. El caballo de Troya puede dejarse permanentemente

en el sistema o puede borrar todo rastro de sí mismo, después de la penetración.

CD-ROM: Abreviación de Compact Disk Read-Only Memory, un CD-ROM sirve para

almacenar datos digitales y puede contener 700 Mb

Clave privada: en un sistema criptográfico asimétrico, clave criptográfica de un usuario

sólo conocida por el mismo.

Clave pública: en un sistema criptográfico asimétrico, clave criptográfica de un usuario

que se hace de público conocimiento.

Clave secreta: en un sistema criptográfico simétrico, clave criptográfica compartida por

dos entidades.

Cluster (informática)

El término cluster se aplica a los conjuntos o conglomerados de computadoras

construidos mediante la utilización de componentes de hardware comunes y que se

comportan como si fuesen una única computadora. Juegan hoy en día un papel

importante en la solución de problemas de las ciencias, las ingenierías y del comercio

moderno.

Código clandestino: Se hace un parche en el sistema operativo bajo la pretensión de

una depuración. El código contiene trampas que permiten realizar a continuación

reentradas no autorizadas al sistema.

Contraseña: información confidencial, frecuentemente constituida por una cadena de

caracteres, que puede ser usada en la autenticación de un usuario.

Cookie: fichero de texto codificado que la mayoría de los servidores web de Internet

envían y registran en un archivo del disco duro de cada usuario que visita el web, se

utiliza para registrar el paso del usuario y controlar sus preferencias y establecer un

perfil personalizado del los usuarios.

Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que

posibilite su recuperación.

Copia de seguridad: Hacer una copia de seguridad, copia de respaldo o simplemente

respaldo (backup en inglés) consiste en guardar en un medio extraíble (para poder

guardarlo en lugar seguro) la información sensible referida a un sistema.

Cortafuegos: Sistema de seguridad, encargado de proteger una red de área local de

accesos no autorizados desde una red de área amplia a la que esté conectada, en inglés

Firewall.

Datos: Los datos son hechos y cifras que al ser procesados constituyen una

información, sin embargo, muchas veces datos e información se utilizan como

sinónimos. En su forma más amplia los datos pueden ser cualquier forma de

información: campos de datos, registros, archivos y bases de datos, texto (colección de

palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o

cuadros de bits), vídeo (secuencia de tramas), etc.

Detección de intruso: Los sistemas deben contener mecanismos de entrampamiento

para atraer al intruso inexperto. Es una buena primera línea de detección, pero muchos

sistemas tienen trampas inadecuadas.

Discos duros generalmente utilizan un sistema de grabación magnética analógica. En

este tipo de disco encontramos dentro de la carcasa una serie de platos metálicos

apilados girando a gran velocidad. Sobre estos platos se sitúan los cabezales encargados

de leer o escribir los impulsos magnéticos.

DHCP: Son las siglas en inglés de Protocolo de configuración dinámica de servidores

(Dynamic Host Configuration Protocol). Es un protocolo de red en el que un servidor

provee los parámetros de configuración a las computadoras conectadas a la red

informática que los requieran (máscara, puerta de enlace y otros) y también incluye un

mecanismo de asignación de direcciones de IP.

DNS: El Domain Name System (DNS) es una base de datos distribuida y jerárquica que

almacena información asociada a nombres de dominio en redes como Internet. Aunque

como base de datos el DNS es capaz de asociar distintos tipos de información a cada

nombre, los usos más comunes son la asignación de nombres de dominio a direcciones

IP y la localización de los servidores de correo electrónico de cada dominio.

DVD: Más conocido como "Digital Versatile Disc" o "Disco Versátil Digital", aunque

también se le puede denominar como "Digital Video Disc" o "Disco de Video Digital")

es un formato multimedia de almacenamiento óptico que puede ser usado para guardar

datos, incluyendo películas con alta calidad de vídeo y audio. Se asemeja a los discos

compactos en cuanto a sus dimensiones físicas (diámetro de 12 u 8 cm), pero están

codificados en un formato distinto y a una densidad mucho mayor.

Encriptar: Forma de codificar la información transmitida a través de la red para no ser

leída por un tercero en caso de ser interceptada.

Extintor es un artefacto que sirve para apagar fuegos. Suelen consistir en un recipiente

metálico (bombona o cilindro de acero) que contiene un agente extintor a presión, de

modo que al abrir una válvula el agente sale por una tobera que se debe dirigir a la base

del fuego.

Firma electrónica: es el conjunto de datos, en forma electrónica, anexos a otros datos

electrónicos o asociados funcionalmente con ellos, utilizados como medio para

identificar formalmente al autor o a los autores del documento que la recoge.

Freeware: Programas que se pueden emplear gratuitamente. Creados por

programadores que no buscan lucrase con ellos.

FTP : File Transfer Protocol es uno de los diversos protocolos de la red Internet,

concretamente significa File Transfer Protocol (Protocolo de Transferencia de

Archivos) y es el ideal para transferir grandes bloques de datos por la red.

Gateway: dispositivo que permite el acceso desde una red de ordenadores a otra de

características diferentes.

Generador eléctrico es todo dispositivo capaz de mantener una diferencia de potencial

eléctrico entre dos de sus puntos, llamados polos, terminales o bornes.

Los generadores eléctricos se clasifican en dos tipos fundamentales: primarios y

secundarios. Son generadores primarios los que convierten en energía eléctrica la

energía de otra naturaleza que reciben o de la que disponen inicialmente, mientras que

los secundarios entregan (una parte de) la energía eléctrica que han recibido

previamente. Se agruparán los dispositivos concretos conforme al proceso físico que les

sirve de fundamento.

Golpe (Breach): Es una violación con éxito de las medidas de seguridad, como el robo

de información, el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.

Hacker: (pirata): Persona con altos conocimientos sobre el funcionamiento interno de

un sistema, de un ordenador o de una red de ordenadores. Este término se suele utilizar

indebidamente como peyorativo, confundiéndolo con el término cracker. Este es un

usuario de ordenadores especializado en penetrar en las bases de datos de sistemas

informáticos estatales con el fin de obtener información secreta. En la actualidad, el

término se identifica con el de delincuente informático, e incluye a los cibernautas que

realizan operaciones delictivas a través de las redes de ordenadores existentes.

Hardware: Todos los componentes físicos de la computadora y sus periféricos.

Hipertexto: Ruptura de la estructura lineal de un texto mediante “enlaces”, también

llamados “Vínculos” o “Hipervínculos”, que permiten saltar a otros temas relacionados,

donde encontrar información ampliada. Las páginas Web de Internet son un ejemplo

claro de Hipertexto.

Host: El término host en informática o computación hace referencia a cualquier

máquina conectada a una red de ordenadores, un nodo con nombre de dominio.

Hosting: servicio de alojamiento ofrecido por algunos proveedores, que brindan a sus

clientes un espacio en su servidor para alojar un sitio web.

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

IDE: La interfaz IDE (Integrated device Electronics) o ATA (Advanced Technology

Attachment) controla los dispositivos de almacenamiento masivo de datos, como los

discos duros y ATAPI (Advanced Technology Attachment Packet Interface) añade

además dispositivos como, las unidades CD-ROM.

Incidente: Cuando se produce un ataque o se materializa una amenaza, tenemos un

incidente, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de

un archivo protegido

Integridad: Se refiere a que los valores de los datos se mantengan tal como fueron

puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir

que existan valores errados en los datos provocados por el software de la base de datos,

por fallas de programas, del sistema, hardware o errores humanos. El concepto de

integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se

debe tener con ellos.

Internet: red de ordenadores a nivel mundial. Ofrece distintos servicios, como el envío

y recepción de correo electrónico (e-mail), la posibilidad de ver información en las

páginas Web, de participar en foros de discusión (News), de enviar y recibir ficheros

mediante FTP, de charlar en tiempo real mediante IRC.

Java: lenguaje de programación orientado a objetos creado por Sun Microsystems, Inc.

que permite ejecutar programas en plataformas múltiples.

Local Area Network: (en inglés «Red de Área Local»), más comúnmente referida por

su acrónimo LAN, se refiere a las redes locales de ordenadores

Log: fichero de texto en el que queda recogida toda la actividad que tiene lugar en un

determinado ordenador, permitiendo que su propietario o administrador detecte

actividades ilícitas e identifique, por medio de su dirección IP, al usuario

correspondiente

Mac address: En redes de computadoras Media Access Control address cuyo acrónimo

es MAC es un identificador físico -un número, único en el mundo, de 48 bits-

almacenado en fábrica dentro de una tarjeta de red o una interface usada para asignar

globalmente direcciones únicas en algunos modelos OSI (capa 2) y en la capa física del

conjunto de protocolos de Internet

Malware: La palabra malware proviene de una agrupación de las palabras malicious

software. Este programa o archivo, que es dañino para el ordenador, está diseñado para

insertar virus, gusanos, troyanos, spyware o incluso los bots, intentando conseguir algún

objetivo, como podría ser el de recoger información sobre el usuario o sobre el

ordenador en sí.

MAN: Red de área metropolitanas (MAN) Una red MAN es una red que se expande por

pueblos o ciudades y se interconecta mediante diversas instalaciones públicas o

privadas, como el sistema telefónico o los suplidores de sistemas de comunicación por

microondas o medios ópticos.

Memoria RAM: RAM es el acrónimo inglés de Random Access Memory (memoria de

acceso aleatorio). Se trata de una memoria de semiconductor en la que se puede tanto

leer como escribir información. Es una memoria volátil, es decir, pierde su contenido al

desconectar la energía eléctrica. Se utiliza normalmente como memoria temporal para

almacenar resultados intermedios y datos similares no permanentes.

Microprocesador: es un conjunto de circuitos electrónicos altamente integrado para

cálculo y control computacional. El microprocesador es utilizado como Unidad Central

de Proceso en un sistema microordenador y en otros dispositivos electrónicos complejos

como cámaras fotográficas e impresoras, y como añadido en pequeños aparatos

extraíbles de otros aparatos más complejos como por ejemplo equipos musicales de

automóviles o televisores

Multimedia: información digitalizada de varios tipos como texto, gráficos, imagen fija,

imagen en movimiento y sonido.

NAS: Network-Attached Storage (Almacenamiento ligado a la red). Un dispositivo

NAS es un servidor que está dedicado a compartir archivos únicamente. NAS no provee

cualquier servicio que un servidor ofrece en un sistema típico, como el correo

electrónico, autenticación o administración de archivos. Con un dispositivo NAS, el

almacenamiento NO es una parte integral del servidor. Contrario al sistema tradicional,

el servidor administra todo lo relativo al procesamiento de datos, pero un dispositivo

NAS envía únicamente datos al usuario.

Plan de contingencia: definición de acciones a realizar, recursos a utilizar y personal a

emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice

o degrade los recursos informáticos o de transmisión de datos de una organización.

Privacidad: Se define como el derecho que tienen los individuos y organizaciones para

determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán

difundidos o transmitidos a otros. Restricción de acceso al abonado o a la información

confiada a otra parte de acuerdo con la legislación. Derecho de los individuos a

controlar e influir en la recogida y almacenamiento de datos relativos a ellos mismos,

así como por quien y a quien pueden ser dados a conocer estos datos.

Política de seguridad: Conjunto de reglas para el establecimiento de servicios de

seguridad. Conjunto de reglas establecidas por la Autoridad de seguridad que gobiernan

el uso y suministro de servicios de seguridad y las instalaciones seguras.

Procedimiento: forma especificada para llevar a cabo una actividad o un conjunto de

actividades mutuamente relacionadas, que utilizan recursos para transformar entradas en

salidas.

Protocolo: normas a seguir en una cierta comunicacin: formato de los datos que debe

enviar el emisor, cómo debe ser cada una de las respuestas del receptor, etc.

Proxy: software que permite a varios ordenadores acceder a Internet a través de una

única conexión física y puede permitir acceder a páginas Web, FTP, correo electrónico,

etc., y también, servidor de comunicaciones, responsable de canalizar el tráfico entre

una red privada e Internet, que contiene un cortafuegos.

Puerta trasera(o bien Backdoor) es un software que permite el acceso al sistema de la

computadora ignorando los procedimientos normales de autenticación. De acuerdo en

como trabajan e infectan a otros equipos, existen dos tipos de puertas traseras. El primer

grupo se asemeja a los caballos de troya, es decir, son manualmente insertados dentro de

algún otro software, ejecutados por el software contaminado e infecta al sistema para

poder ser instalado permanentemente. El segundo grupo funciona de manera parecida a

un gusano informático, el cuál es ejecutado como un procedimiento de inicialización del

sistema y normalmente infecta por medio de gusanos que lo llevan como carga.

RAID: viene en cinco niveles diferentes, los niveles del cero al cinco, cada uno

diseñado para un uso específico. Estos números son simples designaciones de los

diferentes métodos de proteger los datos en los discos duros y no describen los niveles

de velocidad o calidad: RAID 0 no es mejor ni peor que RAID 5. El tipo de RAID

apropiado para su servidor depende de cómo usa su red y el tipo de protección que

desea proporcionarle.

Recurso: cualquier parte componente de un sistema de información.

Red local: Decimos que existe una red local cuando hay varios equipos conectados

entre sí. Estos equipos se conectan por medio de cables y otros dispositivos, y son

capaces de compartir recursos, como archivos o periféricos.

Responsable de seguridad: persona o personas a las que el responsable del fichero ha

asignado formalmente la función de coordinar y controlar las medidas de seguridad

aplicables.

Riesgo aceptable: exposición a un riesgo asumido por una institución, normalmente por

razones presupuestarias. Dado que la seguridad absoluta no existe, tras implantar los

controles de seguridad pertinentes, queda un riesgo, o una exposición a un riesgo, que se

denomina residual sin compensar.

Riesgo calculado: soporte de toma de decisiones para cumplir el objetivo de seguridad

de la organización.

ROUTER: Un router es una pieza de hardware o software que conecta dos o más redes.

Es una pasarela entre dos redes. Asegura el encaminamiento de una comunicación a

través de una red.

SAN: Se distingue de otros modos de almacenamiento en red, por el modo de acceso a

bajo nivel. El tipo de tráfico en una SAN es muy similar al de los discos duros como

ATA y SCSI. Una SAN se puede considerar una extensión de DAS. Donde en DAS hay

un enlace punto a punto entre el servidor y su almacenamiento, una SAN permite a

varios servidores acceder a varios dispositivos de almacenamiento en una red

compartida

SCSI: del acrónimo inglés Small Computer System Interface es una interfaz estándar

para la transferencia de datos entre periféricos en el bus del ordenador (computadora).

SCSI se utiliza muy habitualmente en los discos duros y los dispositivos de

almacenamiento sobre cintas, pero también interconecta una amplia gama de

dispositivos, incluyendo scanners, unidades CD-ROM, grabadoras de CD, y unidades

DVD. De hecho, el estándar SCSI entero promueve la independencia de dispositivos, lo

que significa que teóricamente cualquier cosa puede ser hecha SCSI (incluso existen

impresoras que utilizan SCSI).

Seguridad: Se refiere a las medidas tomadas con la finalidad de preservar los datos o

información que en forma no autorizada, sea accidental o intencionalmente, puedan ser

modificados, destruidos o simplemente divulgados. En el caso de los datos de una

organización, la privacidad y la seguridad guardan estrecha relación, aunque la

diferencia entre ambas radica en que la primera se refiere a la distribución autorizada de

información, mientras que la segunda, al acceso no autorizado de los datos. El acceso a

los datos queda restringido mediante el uso de palabras claves, de forma que los

usuarios no autorizados no puedan ver o actualizar la información de una base de datos

o a subconjuntos de ellos.

Seguridad de la información: Combinación de confidencialidad. Integridad y

disponibilidad. Disciplina cuyo objetivo es el estudio de los métodos y medios de

protección frente a revelaciones, modificaciones o destrucciones de la información, o

ante fallos de proceso, almacenamiento o transmisión de dicha información.

Seguridad física: Conjunto de medidas usadas para proporcionar protección física a los

recursos de información contra amenazas intencionadas o accidentales. Conjunto de

controles externos a los medios, instalaciones, equipos o sistemas de tratamiento de la

información que tratan de protegerlos a ellos y a su entorno de las amenazas de

naturaleza física como es el caso de incendios, inundaciones y atentados.

Seguridad legal: disposiciones legales que protegen la información, equipos y sistemas

de tratamiento de ésta no como unos bienes más, sino a tendiendo a su singularidad, tal

es el caso de la Ley 15/1999 de Protección de Datos de Carácter Personal.

Serial ATA: es un sistema controlador de discos que sustituirá al P-ATA (estándar que

también se conoce como IDE o ATA). El S-ATA proporcionará mayores velocidades,

mejor aprovechamiento cuando hay varios discos, mayor longitud del cable de

transmisión de datos y capacidad para conectar discos en caliente (con la computadora

encendida).

Servicio de seguridad: servicio suministrado por uno o más niveles de un sistema

abierto de comunicación, que garantiza la seguridad del sistema y de las transferencias

de datos, tales como confidencialidad, autenticación, integridad, no repudio, control de

acceso y disponibilidad.

Servidor: En informática o computación es: Una computadora que realiza algunas

tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales

son los servicios de archivos, que permiten a los usuarios almacenar y acceder a los

archivos de un ordenador y los servicios de aplicaciones, que realizan tareas en

beneficio directo del usuario final.

Servidor de aplicaciones: Un servidor de aplicaciones es un ordenador servidor en red

dedicado a ejecutar ciertas aplicaciones software. El término también se refiere al

software instalado en tal ordenador para facilitar la ejecución de otras aplicaciones.

Servidor de archivos: La función principal es permitir el acceso remoto a archivos

almacenados en él o directamente accesibles por este. En principio, cualquier ordenador

conectado a una red con un software apropiado, puede funcionar como servidor de

archivos.

Servidor FTP: Es un servidor que sirve cualquier tipo de archivo, a través del

Protocolo de Transferencia de Ficheros a clientes FTP o a navegadores web que lo

soporten.

Servidor web: es un programa que implementa el protocolo HTTP (hypertext transfer

protocol). Este protocolo está diseñado para transferir lo que llamamos hipertextos,

páginas web o páginas HTML (hypertext markup language): textos complejos con

enlaces, figuras, formularios, botones y objetos incrustados como animaciones o

reproductores de sonidos.

Sistema de detección de intrusos: Un sistema de detección de intrusos (IDS) es un

programa usado para detectar accesos desautorizados a un computador o a una red.

Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan

herramientas automáticas.

Sistemas de información: conjunto de ficheros automatizados, programas, soportes y

equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

Sistema de Prevención de Intrusos: Un Sistema de Prevención de Intrusos (IPS) es un

dispositivo que ejerce el control de acceso en una red informática para proteger a los

sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos

es considerada por algunos como una extensión de los Sistemas de Detección de

Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las

tecnologías cortafuegos.

Sistemas pasivos contra Sistemas Reactivos: En un sistema pasivo, el sensor detecta

una posible intrusión, almacena la información y manda una señal de alerta. En un

sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el firewall

para que bloquee trafico que proviene de la red del atacante.

Sistema operativo: programa que controla un ordenador y que hace posible ejecutar

otros programas o aplicaciones. También administra las funciones internas del

ordenador y que reconozca las instrucciones que el usuario introduce a través del

teclado o del ratón.

Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el

cual se pueden grabar o recuperar datos.

Spam: Correo multidifundido no deseado. El spam es el hecho de enviar mensajes

electrónicos (habitualmente de tipo comercial) no solicitados y en cantidades masivas.

Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es

la basada en el correo electrónico. Otras tecnologías de internet que han sido objeto del

spam incluyen mensajes, grupos de noticias, motores de búsqueda y blogs.

Spyware: Los programas espía o spyware son aplicaciones que recopilan información

sobre una persona u organización sin su conocimiento. La función más común que

tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a

empresas publicitarias u otras organizaciones interesadas, pero también se han

empleado en círculos legales para recopilar información contra sospechosos de delitos.

Software instalado en un ordenador que recoge información sobre el usuario que lo

utiliza sin su conocimiento, para enviarlo vía Internet a quien luego vende la

información.

Storage Area Network : corresponde al concepto Storage Area Network (Red de Área

de Almacenamiento), y es una red independiente de almacenamiento de altas

prestaciones basada en tecnología de fibra optica. Su función consiste en centralizar el

almacenamiento de los archivos en una red de alta velocidad y máxima seguridad, se

trata de una solución global donde se comparte toda el área de almacenamiento

corporativo.

Usuario: sujeto o proceso automatizado para acceder a datos o recursos.

Validación: proceso de verificación de la integridad de un mensaje o partes

seleccionadas del mismo.

Virus: programa que “infecta” un ordenador, capaz de propagarse de un fichero a otro

del ordenador, y que causa efectos indeseables y daños irreparables.

VPN - Virtual private Network: El concepto de Red Privada Virtual (RPV o en ingles

VPN) aparece frecuentemente asociado a los de conectividad, Internet y seguridad. Este

artículo explica los fundamentos de esta moderna tecnología de conexión.

RPV de acceso remoto: Éste es quizás el modelo más usado actualmente y consiste en

usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas

comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de

acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la

red local de la empresa. Muchas empresas han reemplazado con esta tecnología su

infraestructura dial-up (módems y líneas telefónicas), aunque por razones de

contingencia todavía conservan sus viejos modems.

RPV interna: Este esquema es el menos difundido pero uno de los más poderosos para

utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de

utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de

la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace

muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas

(WiFi).

RPV punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede

central de organización. El servidor RPV, que posee un vínculo permanente a Internet,

acepta las conexiones vía Internet provenientes de los sitios y establece el túnel RPV.

Los servidores de las sucursales se conectan a Internet utilizando los servicios de su

proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto

permite eliminar los costosos vínculos punto a punto tradicional, sobre todo en las

comunicaciones internacionales.

UPS: Un SAI ("Sistema de Alimentación Ininterrumpida") es un dispositivo que,

gracias a su batería de gran tamaño y capacidad, puede proporcionar energía eléctrica

tras un apagón a todos los dispositivos eléctricos conectados a él. Otra función que

cumple es la de regular el flujo de electricidad, controlando las subidas y bajadas de

tensión y corriente existentes en la red eléctrica. También son conocidos con su

acrónimo inglés, UPS ("Uninterrupted Power Supply").

Vulnerabilidad: ocurrencia real de materialización de una amenaza sobre un activo.

WLAN: Del inglés < Wireless Local Area Network > es un sistema de comunicación

de datos inalámbrico flexible muy utilizado como alternativa a la LAN cableada o como

una extensión de ésta. Utiliza tecnología de radiofrecuencia que permite mayor

movilidad a los usuarios al minimizarse las conexiones cableadas. Las WLAN van

adquiriendo importancia en muchos campos, como almacenes o para manufacturación,

en los que se transmite la información en tiempo real a una terminal central. También

son muy populares en los hogares para compartir un acceso a Internet entre varias

computadoras.

○ ○ ○ ○ ○ ○ ○ ○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

○

��

��

Lima, Febrero 2001

��

��

��

�� !"#��$��

�� %&'��'��(��)�*"+��,��-��.�/��00

1��) � 2!3��1��

��/�� 0"#004!##0�#+25

Plan de Contingencia de losSistemas de Información

Instituto Nacional de Estadística e Informática 3

Presentación

El Instituto Nacional de Estadística e Informática (INEI), en el marco de Promoción yDifusión de las Nuevas Tecnologías de Información, pone a disposición de lasentidades públicas, privadas, estudiantes y público en general, la publicación titulada:Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas deInformación.

La presente publicación forma parte de la colección Seguridad Informática. Hace unabreve introducción a los Sistemas de Información que incluye: La metodología prácticapara el desarrollo de planes de contingencia de los sistemas de información quecomprende: la identificación de riesgos, Calificación de la probabilidad de que ocurraun riesgo, Evaluación del impacto en los procesos críticos y la creación de estrategiasde contingencias.

Los Planes de Contingencias le permitirán mantener la continuidad de sus sistemas deinformación frente a eventos críticos, de su entidad y minimizar el impacto negativosobre la misma, sus empleados y usuarios. Deben ser parte integral de su organizacióny servir para evitar interrupciones, estar preparado para fallas potenciales y guiar haciauna solución.

El INEI realiza con esta publicación un aporte muy especial para todos los sectores denuestro país, para garantizar en todo momento la continuidad de los Sistemas deInformación, por ello pone a disposición la presente publicación, esperando una vezmás contribuir en el desarrollo de la Sociedad de la Información.

Gilberto Moncada VigoJefe

Instituto Nacional de Estadísticae Informática



Contenido

Capítulo I : Definiciones y Alcances............................................................................... 7

1. Introducción ..................................................................................................... 72. ¿Qué es un Sistema de Información?............................................................. 73. ¿Qué es un Plan de Contingencias? ............................................................... 84. Objetivos del Plan de Contingencia................................................................ 85. Aspectos Generales de la Seguridad de la Información ............................... 8

5.1 La Seguridad Física................................................................................. 85.2 Conceptos Generales............................................................................. 11

6. Seguridad Integral de la Información ............................................................ 13

Capítulo II: Fases de la Metodología Para el Desarrollo de un Plan deContingencia de los Sistemas de Información ....................................... 14

Fase 1: Planificación .......................................................................................... 14Fase 2: Identificación de Riesgos ..................................................................... 17Fase 3: Identificación de Soluciones................................................................ 22Fase 4: Estrategias............................................................................................. 35Fase 5: Documentación del Proceso................................................................ 42Fase 6: Realización de Pruebas y Validación................................................... 43Fase 7: Implementación.................................................................................... 51Fase 8: Monitoreo.............................................................................................. 56

Capítulo III: Visión Práctica para realizar un Plan de Contingencia de losSistemas de Información .......................................................................... 57

Etapa 1: Análisis y Selección de las Operaciones Críticas............................... 58Etapa 2: Identificación de Procesos en cada Operación .................................. 63Etapa 3: Listar los Recursos Utilizados para las Operaciones.......................... 64Etapa 4: Especificación de Escenarios en los cuales puede Ocurrir los

Problemas ............................................................................................. 65Etapa 5: Determinar y Detallar las Medidas Preventivas.................................. 68Etapa 6: Formación y Funciones de los Grupos de Trabajo ............................ 69Etapa 7: Desarrollo de los Planes de Acción..................................................... 69Etapa 8: Preparación de la Lista de Personas y Organizaciones para

Comunicarse en Caso de Emergencia ................................................ 70Etapa 9: Pruebas y Monitoreo............................................................................ 72


Instituto Nacional de Estadística e Informática6

Capítulo IV. Prueba del Plan de Contingencia ............................................................. 73

4.1 Introducción ........................................................................................... 734.2 Objetivos................................................................................................. 734.3 Procedimientos Recomendados para las Pruebas del

Plan de Contingencias ........................................................................... 734.4 Métodos para Realizar Pruebas de Planes de Contingencia............... 734.5 Preparación Pre Prueba......................................................................... 744.6 Comprobación de Plan de Contingencias............................................ 754.7 Mantenimiento de Plan de Contingencias y Revisiones ..................... 754.8 Entorno de las Pruebas del Plan de Contingencias ............................. 77

ANEXOS.................................................................................................................. 81

BIBLIOGRAFIA........................................................................................................ 82


Instituto Nacional de Estadística e Info

Capítulo I : Definiciones y Alcances

1. Introducción

Durante varias décadas, los japoneses han desarrollado diversos programas paraenfrentar los terremotos que permanentemente tienen lugar en su país. Su trabajode preparación y contingencias no sólo ha consistido en construir infraestructuracapaz de resistir los movimientos telúricos, sino que también ha contemplado unamplio proceso de educación a la población. Este es un ejemplo destacable decómo un programa para enfrentar emergencias puede ayudar a salvar muchasvidas y a reducir los daños causados por un desastre natural.

2. ¿Qué son los Sistemas de Información ?

Un Sistema Informático utiliza ordenadores para almacenar los datos de unaorganización y ponerlos a disposición de su personal. Pueden ser tan simples comoen el que una persona tiene una computadora y le introduce datos, los datospueden ser registros simples como ventas diarias, se produce una entrada por cadaventa.

Sin embargo la mayor parte de los sistemas son mas complejos que el enunciandoanteriormente. Normalmente una organización tiene más de un sistema decomputadoras para soportar las diferentes funciones de la organización, ya seande ventas, recursos humanos, contabilidad, producción, inventario, etc.

Los sistemas de información tienen muchas cosas en común. La mayoría de ellosestán formados por personas, equipos y procedimientos. Al conjugar una serie deelementos como hombres y computadoras se hace imprescindible tomar medidasque nos permitan una continuidad en la operatividad de los sistemas para no verafectados los objetivos de las mismas y no perder la inversión de costos y tiempo.

LEntradas

Personal Aplicacio

CONTRO

rmática

PROCESO

nes Tecnologías

NormasRatios

Instalaciones Datos

Salidas

7



La figura anterior nos muestra en un sentido amplio que se puede considerar unSistema de Información (SI) como un conjunto de componentes que interactúanpara que la empresa pueda alcanzar sus objetivos satisfactoriamente. Loscomponentes o recursos de un SI son los siguientes :

•••• Datos: En general se consideran datos tanto los estructurados como los noestructurados, las imágenes, los sonidos, etc.

•••• Aplicaciones: Se incluyen los manuales y las aplicaciones informáticas.•••• Tecnología: El software y el hardware; los sistemas operativos; los sistemas

de gestión de bases de datos; los sistemas de red, etc.•••• Instalaciones: En ellas se ubican y se mantienen los sistemas de información.•••• Personal: Los conocimientos específicos que ha de tener el personal de los

sistemas de información para planificarlos, organizarlos, administrarlos ygestionarlos.

3. ¿Qué es un Plan de Contingencia?

Podríamos definir a un plan de contingencias como una estrategia planificada conuna serie de procedimientos que nos faciliten o nos orienten a tener una soluciónalternativa que nos permita restituir rápidamente los servicios de la organizaciónante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial ototal.

El plan de contingencia es una herramienta que le ayudará a que los procesoscríticos de su empresa u organización continúen funcionando a pesar de unaposible falla en los sistemas computarizados. Es decir, un plan que le permite a sunegocio u organización, seguir operando aunque sea al mínimo.

4. Objetivos del Plan de Contingencia

• Garantizar la continuidad de las operaciones de los elementos consideradoscríticos que componen los Sistemas de Información.

• Definir acciones y procedimientos a ejecutar en caso de fallas de loselementos que componen un Sistema de Información.

5. Aspectos Generales de la Seguridad de la Información.

5.1 La Seguridad Física

La seguridad física garantiza laintegridad de los activoshumanos, lógicos y materiales deun sistema de información dedatos. Si se entiende lacontingencia o proximidad de undaño como la definición deRiesgo de Fallo, local o general,tres serían las medidas apreparar para ser utilizadas enrelación a la cronología del fallo.



5.1.1 Antes

El nivel adecuado de seguridad física, o grado de seguridad, es unconjunto de acciones utilizadas para evitar el fallo o, en su caso,aminorar las consecuencias que de el se puedan derivar.

Es un concepto aplicable a cualquier actividad, no sólo a la informática,en la que las personas hagan uso particular o profesional de entornosfísicos.

• Ubicación del edificio.• Ubicación del Centro de Procesamiento de Datos dentro del

edificio.• Compartimentación.• Elementos de la construcción.• Potencia eléctrica.• Sistemas contra Incendios.• Control de accesos.• Selección de personal.• Seguridad de los medios.• Medidas de protección.• Duplicación de medios.

5.1.2 Durante

Se debe de ejecutar un plan de contingencia adecuado. En general,cualquier desastre es cualquier evento que, cuando ocurre, tiene lacapacidad de interrumpir el normal proceso de una empresa.

La probabilidad de que ocurra un desastre es muy baja, aunque sediera, el impacto podría ser tan grande que resultaría fatal para laorganización. Por otra parte, no es corriente que un negocio respondapor sí mismo ante un acontecimiento como el que se comenta, sededuce la necesidad de contar con los medios necesarios paraafrontarlo. Estos medios quedan definidos en el Plan de Recuperaciónde Desastres que junto con el Centro Alternativo de Proceso de Datos,constituye el plan de contingencia que coordina las necesidades delnegocio y las operaciones de recuperación del mismo.

Son puntos imprescindibles del plan de contingencia:

• Realizar un análisis de riesgos de sistemas críticos que determine latolerancia de los sistemas

• Establecer un periodo critico de recuperación, en la cual losprocesos debe de ser reanudados antes de sufrir perdidassignificativas o irrecuperables.

• Realizar un Análisis de Aplicaciones Críticas por que se estableceránlas prioridades del proceso.

• Determinar las prioridades del proceso, por días del año, queindiquen cuales son las aplicaciones y sistemas críticos en elmomento de ocurrir el desastre y el orden de proceso correcto.



• Establecer objetivos de recuperación que determinen el período detiempo (horas, días, semanas) entre la declaración de desastre y elmomento en el que el centro alternativo puede procesar lasaplicaciones críticas.

• Designar entre los distintos tipos existentes, un Centro Alternativode Proceso de Datos.

• Asegurar la capacidad de las comunicaciones.• Asegurar la capacidad de los servidores back-up.

5.1.3 Después

Los contratos de seguros vienen a compensar, en mayor o menormedida las pérdidas, gastos o responsabilidades que se puedan derivarpara el centro de proceso de datos una vez detectado y corregido elfallo. De la gama de seguros existentes, se pueden indicar lossiguientes:

• Centros de proceso y equipamiento: se contrata la cobertura sobreel daño físico en el CPD (Centro de Procesamiento de Datos) y elequipo contenido en el.

• Reconstrucción de medios de software: cubre el daño producidosobre medios software tanto los que son de propiedad del tomadorde seguro como aquellos que constituyen su responsabilidad.

• Gastos extra: cubre los gastos extra que derivan de la continuidadde las operaciones tras un desastre o daño en el centro de procesode datos. Es suficiente para compensar los costos de ejecución delplan de contingencia.

• Interrupción del negocio: cubre las pérdidas de beneficios netoscausadas por las caídas de los medios informáticos o por lasuspensión de las operaciones.

• Documentos y registros valiosos: Se contrata para obtener unacompensación en el valor metálico real por la perdida o daño físicosobre documentos y registros valiosos no amparados por el segurode reconstrucción de medios software.

• Errores y omisiones: proporciona protección legal ante laresponsabilidad en que pudiera incurrir un profesional quecometiera un acto, error u omisión que ocasione una perdidafinanciera a un cliente.

• Cobertura de fidelidad: cubre las pérdidas derivadas de actosdeshonestos o fraudulentos cometidos por empleados.

• Transporte de medios: proporciona cobertura ante pérdidas odaños a los medios transportados.

• Contratos con proveedores y de mantenimiento: proveedores ofabricantes que aseguren la existencia de repuestos y consumibles,así como garantías de fabricación.



5.2 Conceptos Generales

5.2.1 Privacidad

Se define como el derecho que tienen los individuos y organizacionespara determinar, ellos mismos, a quién, cuándo y qué informaciónreferente a ellos serán difundidas o transmitidas a otros.

5.2.2 Seguridad

Se refiere a las medidas tomadas con la finalidad de preservar losdatos o información que en forma no autorizada, sea accidental ointencionalmente, puedan ser modificados, destruidos o simplementedivulgados.

En el caso de los datos de una organización, la privacidad y laseguridad guardan estrecha relación, aunque la diferencia entre ambasradica en que la primera se refiere a la distribución autorizada deinformación, mientras que la segunda, al acceso no autorizado de losdatos.

El acceso a los datos queda restringido mediante el uso de palabrasclaves, de forma que los usuarios no autorizados no puedan ver oactualizar la información de una base de datos o a subconjuntos deellos.

5.2.3 Integridad

Se refiere a que los valores de los datos se mantengan tal como fueronpuestos intencionalmente en un sistema. Las técnicas de integridadsirven para prevenir que existan valores errados en los datosprovocados por el software de la base de datos, por fallas deprogramas, del sistema, hardware o errores humanos.

El concepto de integridad abarca la precisión y la fiabilidad de losdatos, así como la discreción que se debe tener con ellos.

5.2.4 Datos

Los datos son hechos y cifras que al ser procesados constituyen unainformación, sin embargo, muchas veces datos e información seutilizan como sinónimos.

En su forma más amplia los datos pueden ser cualquier forma deinformación: campos de datos, registros, archivos y bases de datos,texto (colección de palabras), hojas de cálculo (datos en formamatricial), imágenes (lista de vectores o cuadros de bits), vídeo(secuencia de tramas), etc.



5.2.5 Base de Datos

Una base de datos es un conjunto de datos organizados, entre loscuales existe una correlación y que además, están almacenados concriterios independientes de los programas que los utilizan.

También puede definirse, como un conjunto de archivosinterrelacionados que es creado y manejado por un Sistema de Gestióno de Administración de Base de Datos (Data Base Management System- DBMS).

Las características que presenta un DBMS son las siguientes:

• Brinda seguridad e integridad a los datos.

• Provee lenguajes de consulta (interactivo).

• Provee una manera de introducir y editar datos en formainteractiva.

• Existe independencia de los datos, es decir, que los detalles de laorganización de los datos no necesitan incorporarse a cadaprograma de aplicación.

5.2.6 Acceso

Es la recuperación o grabación de datos que han sido almacenados enun sistema de computación. Cuando se consulta a una base de datos,los datos son primeramente recuperados hacia la computadora y luegotransmitidos a la pantalla del terminal.

5.2.7 Ataque

Término general usado para cualquier acción o evento que intenteinterferir con el funcionamiento adecuado de un sistema informático, ointento de obtener de modo no autorizado la información confiada auna computadora.

5.2.8 Ataque Activo

Acción iniciada por una persona que amenaza con interferir elfuncionamiento adecuado de una computadora, o hace que se difundade modo no autorizado información confiada a una computadorapersonal. Ejemplo: El borrado intencional de archivos, la copia noautorizada de datos o la introducción de un virus diseñado parainterferir el funcionamiento de la computadora.

5.2.9 Ataque Pasivo

Intento de obtener información o recursos de una computadorapersonal sin interferir con su funcionamiento, como espionaje



electrónico, telefónico o la intercepción de una red. Todo ésto puededar información importante sobre el sistema, así como permitir laaproximación de los datos que contiene.

5.2.10 Amenaza

Cualquier cosa que pueda interferir con el funcionamiento adecuado deuna computadora personal, o causar la difusión no autorizada deinformación confiada a una computadora. Ejemplo: Fallas desuministro eléctrico, virus, saboteadores o usuarios descuidados.

5.2.11 Incidente

Cuando se produce un ataque o se materializa una amenaza, tenemosun incidente, como por ejemplo las fallas de suministro eléctrico o unintento de borrado de un archivo protegido

5.2.12 Golpe (Breach)

Es una violación con éxito de las medidas de seguridad, como el robode información, el borrado de archivos de datos valiosos, el robo deequipos, PC, etc.

6. Seguridad Integral de la Información

La función del procesamiento de datos es un servicio de toda la institución, queapoya no sólo a los sistemas de información administrativa sino también a lasoperaciones funcionales. La Seguridad un aspecto de mucha importancia en lacorrecta Administración Informática, lo es también de toda la Institución.

Las medidas de seguridad están basadas en la definición de controles físicos,funciones, procedimientos y programas que conlleven no sólo a la protección de laintegridad de los datos, sino también a la seguridad física de los equipos y de losambientes en que éstos se encuentren.

En relación a la seguridad misma de la información, estas medidas han de tenerseen cuenta para evitar la pérdida o modificación de los datos, información o softwareinclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta unaserie de medidas, entre las cuales figurarán el asignar números de identificación ycontraseñas a los usuarios.



Capítulo II : Fases de la Metodología para elDesarrollo de un Plan de Contingencia de

los Sistemas de Información

Debemos de tener presente que mucho dependerá de la infraestructura de la empresa yde los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, noexiste un modelo único para todos, lo que se intenta es dar los puntos más importantes atener en cuenta.

La metodología empleada para el desarrollo y aplicación del plan de contingencias de lossistemas de información, ha sido desarrollada por el INEI, en base a la experiencialograda en el desarrollo de planes de contingencia para el problema del año 2000.

La presente metodología se podría resumir en ocho fases de la siguiente manera:

• Planificación: preparación y aprobación de esfuerzos y costos.

• Identificación de riesgos: funciones y flujos del proceso de la empresa.

• Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.

• Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.

• Documentación del proceso: Creación de un manual del proceso.

• Realización de pruebas: selección de casos soluciones que probablementefuncionen.

• Implementación: creación de las soluciones requeridas, documentación de los casos.

• Monitoreo: Probar nuevas soluciones o validar los casos.

FASE 1 : PLANIFICACION

1.1 Diagnóstico

Cada vez que nos encontremos en una actividad que requiere el diseño de unapropuesta de solución para un determinado problema, es necesario siempre larevisión exhaustiva de cada uno de los componentes que conforman nuestrosistema, es por esta razón siempre debemos de realizar una etapa de diagnosticopara poder asegurar que las acciones de solución propuestas tengan unfundamento realista y no tener que volver a rehacer toda propuesta.



1.1.1 Organización Estructural y Funcional.

En este aspecto se deben describir y analizar las Direcciones, Gerencias odependencias en las que se divide la empresa o institución haciendoreferencia de las funciones más importantes que desempeñan cada una deellas, priorizando tales funciones en relación al sistema productivo de bieneso servicios que desarrollan.

Estas Entidades tienen Organigramas que se rigen por Manuales deOrganización y Funciones.

1.1.2 Servicios y/o Bienes Producidos.

En este punto se hará referencia sobre los bienes y/o servicios que producela empresa o institución según el orden de importancia por la generación debeneficios. Si la empresa produce más de un bien la prioridad serádeterminada según el criterio de los Directivos.

Además se debe elaborar un directorio de clientes priorizando de acuerdo ala magnitud de los bienes o servicios que consumen.

También se harán un breve análisis del mercado de consumo de los bienes yservicios producidos, identificando las zonas o sectores de mayor consumo.

1.1.3 Servicios y Materiales Utilizados.

Con relación a los servicios utilizados se debe elaborar un directorio deempresas o instituciones que abastecen de energía, comunicación,transporte, agua, salud y otros servicios resaltando la importancia de ellosen el sistema de producción de la entidad y verificando la seguridad de losservicios sin problemas de afectación por algún tipo de problema.



También debe hacerse un directorio de todas la entidades abastecedoras dematerias primas o insumos para la producción de información.

1.1.4 Inventario de Recursos Informáticos.

El inventario de recursos informáticos se realizará por dependencias y enforma clasificada:

• Computadoras: 386, 486 y las Pentium, impresoras, scanners, etc.

• Programas: De sistemas operativos, procesadores de textos, hojas decálculo, lenguajes de programación, software de base.

• Aplicativos Informáticos: Del sistema de Contabilidad, de TrámiteDocumentario, Planillas, Almacén, Ventas, Presupuesto, Personal.

• Equipos Empotrados: De Industrias: Hornos y envasadoras. De Banca ySeguros, Cajeros automáticos y bóvedas. De Oficinas, Centralestelefónicas.

Estos inventarios deberán hacerse a través de formularios sistemáticamenteelaborados.

El procesamiento de este inventario puede ser de dos tipos:

Proceso Automatizado.- Utilizando herramientas informáticas de diferentenivel, grado de detalle y costo, que pueden acelerar el tiempo de la toma delinventario, procesamiento de datos y emisión de resultados.

Proceso Manual.- Utilizando formatos de recopilación de información.El conocimiento del Inventario de estos recursos nos permitirá hacer unaevaluación de los riesgos de la operatividad de los sistemas de información.

Cada formato consta de dos partes:

a.- Datos componentes: Donde se registran los datos básicos deubicación, identificación y características primarias, así como tambiénsu importancia, compatibilidad y adaptabilidad.

b.- Análisis del proceso de adaptación del componente:Incluye datos de costos, fecha de culminación, medios utilizados ymedidas de contingencia.

1. 2 Planificación

La fase de planificación es la etapa donde se define y prepara el esfuerzo deplanificación de contingencia/continuidad. Las actividades durante esta faseincluyen:

• Definición explícita del alcance, indicando qué es lo que se queda y lo que seelimina, y efectuando un seguimiento de las ambigüedades. Una declaracióntípica podría ser, “La continuidad de los negocios no cubre los planes derecuperación de desastres que ya fueron emitidos.”



• Definición de las fases del plan de eventos (por ejemplo, los períodos pre-evento, evento, y post-evento) y los aspectos sobresalientes de cada fase.

• Definición de una estrategia de planificación de la continuidad del negocio dealto nivel.

• Identificación y asignación de los grupos de trabajo iniciales; definición de losroles y responsabilidades.

• Definición de las partes más importantes de un cronograma maestro y su patrónprincipal.

• Identificación de las fuentes de financiamiento y beneficios del negocio; revisióndel impacto sobre los negocios.

• Duración del enfoque y comunicación de las metas y objetivos, incluyendo losobjetivos de la empresa.

• Definición de estrategias para la integración, consolidación, rendición deinformes y arranque.

• Definición de los términos clave (contingencia, continuidad de los negocios,etc.)

• Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.

• Obtención de la aprobación y respaldo de la empresa y del personal gerencialde mayor jerarquía. Provisión de las primeras estimaciones del esfuerzo.

• El plan debe ser ejecutado independientemente de las operaciones yprocedimientos operativos normales .

• Las pruebas para el plan serán parte de (o mantenidas en conjunción con) losejercicios normalmente programados para la recuperación de desastres, laspruebas específicas del plan de contingencia de los sistemas de información y larealización de pruebas a nivel de todos los clientes.

• No habrá un plan de respaldo, y tampoco se dará una reversión ni se podráfrenar el avance del plan de contingencia.

• Si ocurre un desastre, una interrupción, o un desfase de gran magnitud en losnegocios de la empresa durante el período del calendario de eventos, sepondrán en práctica los planes de continuidad de los negocios o decontingencia.

• Si la organización ha puesto en moratoria los cambios al sistema, se debenpermitir las excepciones a dicha moratoria solamente para los cambios de tiporegulador o para los problemas más importantes que afecten la producción o lasoperaciones de la empresa, y solamente después de haber obtenido laaprobación del nivel ejecutivo.

FASE 2 : IDENTIFICACION DE RIESGOS

La Fase de Identificación de Riesgos, busca minimizar las fallas generadas por cualquiercaso en contra del normal desempeño de los sistemas de información a partir del análisisde los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.

El objetivo principal de la Fase de Reducción de Riesgo, es el de realizar un análisis deimpacto económico y legal, determinar el efecto de fallas de los principales sistemas deinformación y producción de la institución o empresa.



2.1 Análisis y Evaluación de Riesgos

Es necesario reconocer y reducir de riesgos potenciales que afecten a los productosy servicios; es por ello que se considera dentro de un Plan de Contingencia, comoprimer paso la Reducción de Riesgos, para favorecer el cumplimiento de losobjetivos institucionales.

El análisis y evaluación de riesgos se desarrolla en 2 situaciones

1. Para entidades que desarrollan Planes de Contingencias su plan de adaptacióny no tienen soluciones adecuadas.

Para aquellas entidades que están realizando Planes de Contingencia, el análisisy evaluación de riesgos consta de:

1. Evaluar el impacto de los procesos críticos.2. Valorar la certificación de los proveedores3. Privilegiar proyectos, eliminando aquellos que resultan extemporáneos.4. Detectar deficiencias ante cambios en los sistemas afectados.5. Guardar copias de información empresarial mediante convenios de

soporte.

2. Entidades que a la fecha no han tomado previsión.

Para aquellas entidades que no están realizando Planes de Contingencia, elanálisis y evaluación de riesgos consta de:

1. Realización un diagnóstico integral del Sistema de Información.2. Elaborar una lista de Servicios afectados evaluando su importancia,

magnitud del impacto, cuantificar con niveles A, B, C u otro.3. Identificar todos los procesos de los servicios afectados.4. Analizar sólo los procesos críticos de los servicios.

2.2 Identificar los Procesos Críticos

Al igual que las situaciones de falla, las alternativas pueden ser infinitas. Por ende,se deben identificar muchas para ser capaces de seleccionar las mejores opcionesde contingencia. Comience por los riesgos ya identificados como prioridadesmáximas porque causarían el mayor impacto negativo en los servicios y en lasfunciones críticas de su organización.

2.3 Análisis de las Operaciones Actuales

El análisis de operación del método actual de trabajo (es decir, cómo y en quéorden su organización obtiene funciones comerciales) puede revelar lasoportunidades para reducir, eliminar o simplificar ciertas operaciones o procesos.

Algunas funciones probablemente pueden ser realizadas por terceros sin pérdidade control. Probablemente pueden reducirse algunas operaciones en términos de



pasos e interfaces que ellos requieren. Un almacén parcialmente automatizadopuede requerir 24 acciones manuales separadas para llenar una orden grande. Si laorganización puede cortar esto en 33 por ciento, a 16 acciones manuales, laeficiencia incrementada puede liberar algunos recursos que pueden usarse en otraparte. Por supuesto, tales acciones van de la mano con la capacitación. Desde elpunto de vista de los sistemas de información, tales consideraciones pueden sercruciales porque puede haber una necesidad de revertir a las operaciones manualesy en ciertos casos sostener las operaciones existentes.

Si consideramos que "No existe producto y/o servicio sin un proceso. De la mismamanera, que no existe proceso sin un producto o servicio". Aunque no todos losprocesos generan un producto o servicio útil (creando valor agregado) para lainstitución. Por lo que es necesario realizar un análisis de las operaciones y losprocesos que involucran.

• Organización. Cualquier grupo, empresa, corporación, planta, oficina de ventas,etc.

• Función. Un grupo dentro de la organización funcional. Funcionescaracterísticas serían ventas y mercadeo, contabilidad, ingeniería de desarrollo,compras y garantía de calidad.

• Proceso. Cualquier actividad o grupo de actividades que emplee un insumo, leagregue valor a éste y suministre un producto a un cliente externo o interno.Los procesos utilizan los recursos de una organización para suministrarresultados definitivos.

• Proceso de producción. Cualquier proceso que entre en contacto físico con elhardware o software que se entrega a un cliente externo, hasta aquel punto enel cual el producto se empaca (por ejemplo, fabricación de computadoras,preparación de alimentos para el consumo masivo de los clientes, refinación depetróleo, transformación de hierro en acero). Esto no incluye los procesos deembarque y distribución.

• Proceso de la empresa. Todos los procesos de servicios y los que respaldan alos de producción (por ejemplo, de pedidos, proceso de cambio en ingeniería,de planilla, diseño del proceso de manufactura). Un proceso de la empresaconsiste en un grupo de tareas lógicamente relacionadas que emplean losrecursos de la organización para dar resultados definidos en apoyo de losobjetivos de la organización.

Al emplear estas definiciones, se puede observar que casi todo lo que hacemos esun proceso y que los procesos de la empresa desempeñan un papel importante enla supervivencia económica de nuestras organizaciones.

En todas las organizaciones existen, literalmente, centenares de procesos que serealizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos unay otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras eintermedias) pueden y deben controlarse, en gran parte, tal como se vigilan los demanufactura. Se manejan muchos procesos de las instituciones y empresas queson tan complejos como el proceso de manufactura.



2.4 Uso de la Técnica de Análisis de Procesos

Consideremos para el uso de la técnica de análisis de procesos:

• El ciclo de vida empieza con la descripción de un proceso basado en las metasdel proyecto, mientras se utilizan los recursos descritos del proceso.

• El proceso se fija al asignar los recursos.

• El proceso puede instalarse en una máquina o pueden ser procedimientos aseguir por un grupo de personas.

• El proceso es supervisado y medido durante su uso.

• Los datos obtenidos de esta medida se evalúan durante todo el tiempo que sedesenvuelva el proceso. Una descripción del proceso existente puede empezarcon un informe actual, obtenido de la supervisión y documentación delproceso.

El Proceso de Dirección del Ciclo de Vida en la Figura muestra la descripción de loscomponentes del proceso y la producción de los principales insumos de trabajo. Ladescripción del proceso funcionalmente se descompone en el:

1. Análisis del Proceso2. Plan del Proceso3. Aplicación del Proceso.

El Análisis del proceso involucra identificación, mientras se analiza el proceso, y losrequisitos del proceso. El Plan del proceso involucra el modelamiento de laarquitectura y la descomposición funcional del proceso. La Aplicación del procesoinvolucra llevar a cabo el plan del proceso para crear tareas a realizarse yproporcionar la capacitación necesaria para las personas que realicen dichas tareas.También la aplicación del proceso involucra la preparación del proceso para suactuación en la empresa o institución, el proceso consiste en los detallesespecíficos del proyecto y fijar los recursos necesarios.



Diagrama del Proceso Descompuesto

A continuación presentamos una lista de procesos típicos de las empresasdefinidos por IBM. Esto ayudará a definir los procesos de la empresa.

• Manejo de índices.• Diseño de sistemas de control.• Desarrollo de comunicaciones avanzadas• Diseño de componentes de cable• Prueba de diseño• Revisión de diseño y materiales• Revisión de documentos• Especificación de diseño a alto nivel• Coordinación entre divisiones• Diseño lógico y verificación• Calificación de componentes• Diseño del sistema de energía• Divulgación del producto• Confiabilidad y utilidad del sistema• Requerimiento del sistema• Diseño interactivo de sistemas para el usuario• Análisis de la competencia• Apoyo de los sistemas de diseño• Desarrollo de la información• Instrumentos de diseño físico• Diseño de sistemas• Gerencia de cambio en ingeniería

Es el procedimiento por el cual se estudian los procesos dentro de una secuencia(Línea de producción) de producción o provisión de servicios, que a continuaciónson presentados, teniendo en consideración:

• Las Funciones Institucionales.• Los procesos derivados.• Los subprocesos.

FASE 3 : IDENTIFICACIÓN DE SOLUCIONES

Un proyecto de plan de contingencia no sirve si se queda en plan o papel.Un plan de contingencias debe contemplar todos los procesos institucionales sean estosmanuales y/o automatizados, evaluando el volumen de información o materialesafectados, a fin de definir la complejidad de los sistemas.

La magnitud, de un plan de contingencia será proporcional a la complejidad, importancia,costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma.



El esquema general del plan de contingencias de los sistemas de información, estaconstituido por 3 grandes fases:

1. Fase de Reducción de Riesgos2. Fase de Recuperación de Contingencia3. Fase de Organización de un Sistema de Alerta contra Fallas

Se debe tener en cuenta al determinar los objetivos, en qué parámetros generales se va abasar, para poner en operación el plan de contingencias.

En cualquier caso, sus planes deben identificar dependencias e impactos y, al mismotiempo, los recursos necesarios para implementar cada alternativa de contingencia. Sedeben buscar alternativas "creativas", que logren el efecto de mitigar el impacto en casode una falla. En la siguiente tabla se muestra la matriz del plan de contingencia y algunosejemplos.

Matriz de planificación de contingencia y ejemplos

OPCIONES OPERACIÓN MANUAL REEMPLAZO EXTERNALIZACION DELSERVICIO

Reparación rápiday de defecto

Recurra al proceso manual sólo encaso de clientes prioritarios. Asegureque contará con personal el 1 y 2 deenero.

Tenga disponible softwarede repuesto que cumpla conlos requisitos

Use personal temporalmentepara llenar brecha

Reparación parcial

Use hojas de cálculo o base de datospara ofrecer alguna de lafuncionalidad original del sistema(fecha de captura).

Use base de datos opaquetes COTS parareemplazar la funcionalidaddel sistema

Haga que el contratistaprocese los pagos en suspropias instalaciones

Reparación total

Ofrezca operaciones totalmentefuncionales a través del procesomanual, utilizando personal adicionalsi es necesario

Elimine esfuerzos dereparación e implemente unsistema comercial funcional,rápidamente

Entregue el manejo de laplantilla de pago a una firmacomercial especialista

3.1 Identificación de Alternativas

Como indicamos anteriormente, un buen método para identificar alternativasconsiste en revisar los planes de administración de emergencia o recuperación defallas. Estos son algunos ejemplos de alternativas que pudieran ayudarle al iniciodel proceso de preparación.

• Planifique la necesidad de personal adicional para atender los problemas queocurran.

• Recurra al procesamiento manual (de facturas, órdenes, cheques, etc.) si fallan

los sistemas automatizados. • Planifique el cierre y reinicio progresivo de los dispositivos y sistemas que se

consideran en riesgo. • Instale generadores si no tiene acceso a la red de energía pública.



• Disponga del suministro adicional de combustible para los generadores, en casode fallas eléctricas prolongadas.

• Disponga de bombas manuales de combustible y úselas si fallan las

electrónicas. • Elaborar un programa de vacaciones que garantice la presencia permanente del

personal. • No haga nada y vea qué pasa – esta estrategia es algunas veces llamada arreglar

sobre falla.

3.2 Identificación de Eventos Activadores

Cuando el equipo de planificación seleccione la mejor alternativa de contingencia,debe definir los activadores que provocarán la implementación del plan. Losactivadores son aquellos eventos que permitirán decir “OK”, es el momento depasar al plan B”. Incluyen las fallas de los sistemas, u otros eventos que hacenevidente la necesidad de implementar el plan de contingencia. Sin embargo,muchos eventos activadores serán predefinidos como puntos de decisión “pasar/nopasar”, el evento que active la decisión de poner en funcionamiento el procesoalternativo puede ser una alerta establecida a una falla anticipada.

La información necesaria para definir los activadores para cada sistema o proceso,provendrá tanto del programa de implementación para los sistemas de información,como de los requerimientos de tiempo desplegados para cada plan decontingencia.

A continuación se muestran algunos ejemplos de los tipos de eventos que puedenservir como activadores en sus planes de contingencia:

• Información de un vendedor respecto a la tardía entrega o no disponibilidad deun componente de software.

• Tardío descubrimiento de serios problemas con una interfaz. • Tempranas (no anticipadas) fallas del sistema – corrección/reemplazo no está

lista para sustituir. • Fallas del Sistema (datos corruptos en informes o pantallas, transacciones

pérdidas, entre otros). • Fallas de interfaces –intercambios de datos no cumplen los requisitos. • Fallo de la infraestructura regional (energía, telecomunicaciones, sistemas

financieros) • Problemas de implementación (por ejemplo, falta de tiempo o de fondos).



• Aseveraciones falsas o erróneas sobre el cumplimiento, descubiertasdemasiado tarde para iniciar las acciones de cumplimiento.

Cabe mencionar que, para desarrollar este proyecto es necesario conocer loslineamientos generales del sistema afectado, es decir el tipo de producción al cualpertenece pudiendo pertenecer al sector de bienes o al sector servicios. Una vezestablecido a que rubro de la producción pertenece, identificamos el departamentou área ligada y las funciones que en ella realiza, las áreas principales pueden ser:

• Contabilidad• Administración• Finanzas• Comercialización• Producción• Seguridad

Se deberán identificar las fallas potenciales que puedan ocurrir para cada sistema,considerando la provisión de datos incorrectos, y fiabilidad del sistema para lainstitución, y así desarrollar una lista de alternativas priorizadas de fallas.

3.3 Identificación de Soluciones

El objetivo es reducir el costo de encontrar una solución en la medida de lo posible,a tiempo de documentar todos los riesgos identificados.

Actividades importantes a realizar:

• La asignación de equipos de solución para cada función, área funcional o áreade riesgo de la organización.

• La asociación de soluciones con cada riesgo identificado- se recomienda tenerun abanico de alternativas de soluciones, por que las soluciones se analizaran yse compararan posteriormente.

• Comparar los riesgos y determinarles pesos respecto a su importancia crítica entérmino del impacto de los mismos.

• Clasificar los riesgos.

• La elaboración de soluciones de acuerdo con el calendario de eventos.

• La revisión de la factibilidad de las soluciones y las reglas de implementación.

• La identificación de los modos de implementación y restricciones que afectan alas soluciones.

• La definición e identificación de equipos de acción rápida o equipos deintensificación por área funcional o de negocios de mayor importancia.

• Sopesar las soluciones y los riesgos y su importancia crítica en lo que respectaa su eficacia y su costo, siendo la meta la solución más inteligente.

La revisión de soluciones comparándolas con el nivel mínimo aceptable deresultados o servicios.



3.4 Fallas Genéricas Funcionales de los Sistemas a tener en Consideración.

Se han encontrado varias fallas comunes a muchos sistemas de computación.

Estos incluyen:

• Autentificación. En muchos sistemas, los usuarios no pueden determinar si elhardware y el software con que funcionan son los que se supone que deben ser.Esto hace fácil al intruso reemplazar un programa sin conocimiento del usuario.Un usuario puede inadvertidamente teclear una contraseña en un programa deentrada falso.

• Cifrado. La lista maestra de contraseñas debe ser almacenada, cifrada, lo que amenudo no se hace.

• Implementación. Un diseño bien pensado de un mecanismo de seguridadpuede ser implementado de forma improcedente.

• Confianza implícita. Un problema corriente, una rutina supone que otra estáfuncionando bien cuando, de hecho, debería estar examinando detenidamentelos parámetros suministrados por la otra.

• Compartimiento implícito. El sistema puede depositar inadvertidamenteinformación importante del sistema, en un espacio de direcciones del usuario.

• Comunicación entre procesos. El intruso puede usar un mecanismo deSEND/RECEIVE para probar varias posibilidades. Por ejemplo el intruso puedepedir un recurso del sistema y suministrar una contraseña. La informacióndevuelta puede indicar "contraseña correcta", confirmando la contraseñaadivinada por el intruso.

• Verificación de la legalidad. El sistema puede no estar realizando una validaciónsuficiente de los parámetros del usuario.

• Desconexión de línea. En tiempos compartidos y en redes, cuando la línea sepierde (por cualquier razón), el sistema operativo debe inmediatamente dar debaja del sistema al usuario o colocar al usuario en un estado tal, que seanecesaria la reautorización para que el usuario obtenga de nuevo el control.Algunos sistemas permiten que un proceso "flote" después de una desconexiónde línea. Un intruso puede llegar a obtener el control del proceso y usarcualesquier recurso a los que tenga acceso el proceso.

• Descuido del operador. Un intruso puede engañar a un operador y hacer quecargue un paquete de disco con un sistema operativo falso.

• Paso de parámetros por referencia en función de su valor. Es más seguro pasarlos parámetros directamente en registros, que tener los registros apuntando alas localidades que contienen los parámetros. El paso por referencia puedellevar a una situación en la cual los parámetros, pueden aún encontrarse en elespacio de direcciones del usuario después de una verificación de la legalidad.



El usuario podría así suministrar parámetros legítimos, verificarlos, ymodificarlos justo, antes de ser utilizados por el sistema.

• Contraseñas. Las contraseñas son, a menudo, fáciles de adivinar u obtenermediante ensayos repetidos. Debiendo implementarse con número máximo (3)de intentos infructuosos.

• Entrampamiento al intruso. Los sistemas deben contener mecanismos deentrampamiento para atraer al intruso inexperto. Es una buena primera línea dedetección, pero muchos sistemas tienen trampas inadecuadas.

• Privilegio. En algunos sistemas hay demasiados programas con muchosprivilegios. Esto es contrario al principio del menor privilegio.

• Confinamiento del programa. Un programa prestado de otro usuario puedeactuar como caballo de Troya: puede robar o alterar los archivos del usuarioque los prestó.

• Residuos. A menudo el intruso puede encontrar una lista de contraseñas consólo buscar en una papelera. Los residuos se dejan a veces en elalmacenamiento después de las operaciones rutinarias del sistema. Lainformación delicada debe ser siempre destruida antes de liberar o descargar elmedio que ocupa (almacenamiento, papel, etc.). Las trituradoras de papel sonalgo corriente en ese aspecto.

• Blindaje. Una corriente en un cable genera un campo magnético alrededor deél; los intrusos pueden de hecho conectarse a una línea de transmisión o a unsistema de computación sin hacer contacto físico. Puede usarse el blindajeeléctrico para prevenir tales "intrusiones invisibles".

• Valores de umbral. Están diseñados para desanimar los intentos de entrada, porejemplo. Después de cierto número de intentos inválidos de entrar al sistema,ese usuario (o el terminal desde donde se intentan las entradas) debe serbloqueado y el administrador del sistema, advertido. Muchos sistemas carecende esta característica.

3.5 Ataques Genéricos a Sistemas Operativos

Ciertos métodos de penetración se han utilizado efectivamente en muchossistemas.

• Asincronismo. Con procesos múltiples que progresan de forma asincrónica, esposible que un proceso modifique los parámetros cuya validez ha sido probadapor otro, pero que aún no ha utilizado. Con ésto, un proceso puede pasarvalores malos a otro, aún cuando el segundo realice una verificación extensa.

• Rastreo. Un usuario revisa el sistema de computación, intentando localizarinformación privilegiada.



• Entre líneas. Se usa un terminal especial para conectarse a la línea decomunicación mantenida por un usuario dado de alta en el sistema, que estáinactivo en ese momento.

• Código clandestino. Se hace un parche en el sistema operativo bajo lapretensión de una depuración. El código contiene trampas que permiten realizara continuación reentradas no autorizadas al sistema.

• Prohibición de acceso. Un usuario escribe un programa para hacer caer alsistema, poner al sistema en un ciclo infinito, o monopolizar recursos delsistema. Lo que se intenta aquí es el negar el acceso o servicio a los usuarioslegítimos.

• Procesos sincronizados interactivos. Los procesos usan las primitivas desincronización del sistema para compartir y pasarse información entre sí.

• Desconexión de línea. El intruso intenta obtener acceso al trabajo de un usuariodespués de una desconexión de línea, pero antes de que el sistema reconozcala desconexión.

• Disfraz. El intruso asume la identidad de un usuario legítimo, después de haberobtenido la identificación apropiada por medios clandestinos.

• Engaño al operador. Un intruso inteligente puede, a menudo, engañar aloperador del computador y hacer que realice una acción que comprometa laseguridad del sistema.

• Parásito. El intruso utiliza un terminal especial para conectarse a una línea decomunicación. El intruso intercepta los mensajes entre el usuario y elprocesador, modifica el mensaje o lo reemplaza por completo.

• Caballo de Troya. El intruso coloca un código dentro del sistema que le permitaaccesos posteriores no autorizados. El caballo de Troya puede dejarsepermanentemente en el sistema o puede borrar todo rastro de sí mismo,después de la penetración.

• Parámetros inesperados. El intruso suministra valores inesperados a unallamada al supervisor, para aprovechar una debilidad de los mecanismos deverificación de la legalidad del sistema.

A medida que la computación se hace más asequible, los problemas de seguridadaumentan. Las comunicaciones de datos y las redes suponen un gran aumento dela vulnerabilidad de los sistemas basados en computadores. El hecho de serfavorables al usuario, implica también un incremento de la vulnerabilidad.

Los requisitos de seguridad de un sistema dado, definen lo que para ese sistemasignifica la seguridad. La seguridad externa se ocupa de la protección del sistemade computación contra intrusos y desastres. La seguridad de la interfase del usuariose encarga de establecer la identidad del usuario antes de permitir el acceso alsistema. La seguridad interna se encarga de asegurar una operación confiable y sin



problemas del sistema de computación, y de garantizar la integridad de losprogramas y datos.

La autorización determina qué acceso se permite a qué entidades. La división deresponsabilidades da a la gente distintos conjuntos de responsabilidades. Ningúnempleado trata con una gran parte de la operación del sistema, de modo que paracomprometer la seguridad tienen que estar implicados varios empleados.

La vigilancia trata de la supervisión y auditoría del sistema, y de la autentificación delos usuarios. En la verificación de las amenazas, el sistema operativo controla lasoperaciones delicadas, en vez de darle el control directo a los usuarios. Losprogramas de vigilancia realizan operaciones sensibles.

Cuando los programas de vigilancia han de tener un acceso mayor que losprogramas del usuario, para servir las peticiones del usuario, ésto se denominaamplificación.

3.6 Seguridad en Redes

3.6.1 Las Funciones de Seguridad de Red

En el intento de proteger una red de computadoras, existen varias funcionescomunes a las cuales deben dirigirse. La siguiente es una lista de cuatroproblemas básicos:

o El anfitrión promiscuo, la red debuggers.

o La autenticación de cliente y servidor.

o La autorización de cliente y servidor

o Contabilidad de cliente y servidor.

a. El anfitrión promiscuo

El anfitrión promiscuo es uno de los principales problemas de seguridady uno de los problemas más urgentes de cualquier red. Si un intruso espaciente, él puede simplemente mirar (con una red debugger o anfitriónpromiscuo) que los paquetes fluyen de aquí para allá a través de la red.No toma mucha programación el análisis de la información que fluyesobre la red.

Un ejemplo simple es un procedimiento de login remoto. En elprocedimiento login, el sistema pedirá y recibirá el nombre y contraseñadel usuario a través de la red.

Durante la transmisión, esta información no es codificada o encriptadade cualquier forma. Una persona paciente simplemente puede esperar,y así recolectar toda la información que necesita para romper cualquiercuenta.



b. Autenticación

El procedimiento de login remoto ilustra el problema de autenticación.¿Cómo presenta usted credenciales al anfitrión remoto para probar queusted es usted?.

¿Cómo hace usted ésto, de forma que no se repita por el mecanismosimple de una jornada registrada?.

c. Autorización

Aún cuando usted puede probar que usted es quien dice que es,simplemente, ¿Qué información debería permitir el sistema localaccesar desde a través de una red?. Este problema de autorizaciónparecería ser simple en concepto, pero considerar los problemas decontrol de acceso, cuando todo el sistema tiene su identidad remota deusuario, el problema de autorización sería un problema de seguridadbastante serio, en donde intervienen los conceptos de funcionesautorizadas, niveles de autorización, etc.

d. Contabilidad

Finalmente, considerar el problema de contabilidad. Hay que recordarque nosotros debemos asumir que hay otros con un conocimientomayor de sistemas. ¿Cuánta contabilidad tiene que hacer el sistemapara crear una pista de revisión y luego examinar?

3.6.2 Componentes de Seguridad

Para un intruso que busque acceder a los datos de la red, la línea de ataquemás prometedora será una estación de trabajo de la red. Estas se debenproteger con cuidado. Debe habilitarse un sistema que impida que usuariosno autorizados puedan conectarse a la red y copiar información fuera de ella,e incluso imprimirla.

Por supuesto, una red deja de ser eficiente si se convierte en una fortalezainaccesible. El administrador de la red tal vez tenga que clasificar a losusuarios de la red con el objeto de adjudicarles el nivel de seguridadadecuado. A continuación se sugiere un sistema en tres niveles:

• Nivel de administración. Aquellos que diseñan, mantienen o ponen enmarcha la red. Este debe estar constituido sólo por el administrador opor un pequeño grupo de personal de soporte y administración.

• Usuarios fiables. Aquellos usuarios que cumplen las normas y cuyotrabajo se pueda beneficiar de una mayor libertad de acceso a la red.

• Usuarios vulnerables. Aquellos que muestran falta de competencia, sonexcesivamente curiosos o beligerantes, o los que por alguna razón no sepuede confiar.



Estos niveles pueden tener un reflejo en el número de barreras que seestablecen para el acceso al sistema y el tipo de derechos de acceso que seconceden, para cuando se ha obtenido la conexión, así como el nivel desupervisión y la frecuencia de las comprobaciones.

3.6.3 Control de Acceso a la Red

• Restringir el acceso a las áreas en que están las estaciones de trabajomediante llaves, tarjetas de identificación, tarjetas inteligentes y sistemasbiométricos.

• Restringir las posibilidad de conectar estaciones mediante llaves, tarjetasde identificación, tarjetas inteligentes y sistemas biométricos.

• Identificación para la red con clave de acceso.

• Protección con clave de todas la áreas sensitivas de datos y restricciónde acceso a los programas, según su uso.

• Registro de toda la actividad de la estación de trabajo.

• Protección con clave de acceso o bloqueo de todas las operaciones decopia a disquete en las estaciones de trabajo.

• Monitorización de todas las operaciones de copia en disquete en lasestaciones de trabajo.

3.6.4 Protección del Servidor

La parte más importante de la red es el servidor. La concentración de losdatos en el servidor, en términos de cantidad e importancia, hace que seanecesario protegerlo de todas las eventualidades.

La dependencia en que esté el servidor no debe ser accesible para nadie,excepto para el administrador de la red. No se debe permitir que personasque no han de utilizar el servidor estén cerca de él. Las impresoras y otrosperiféricos deben mantenerse alejados de ojos fisgones.

Dada la importancia del servidor y la cantidad de datos que pasan por él, esnecesario efectuar copias de seguridad, del servidor. Cabe recordar que lascopias de seguridad del servidor de archivos son un elementoespecialmente valioso, debiéndose quedar guardados en un lugar cerrado,seguro y con las condiciones ambientales necesarias. Un conjunto de copiasde seguridad se debe trasladar regularmente a otro lugar seguro (depreferencia otro local).



Redes y tolerancia a fallas

La tolerancia a fallas es la capacidad de la red de continuar funcionando, enel caso que se produzca un problema importante o una caída catastrófica,sin daño para los datos y sin que el funcionamiento cambieperceptiblemente.

La tolerancia a fallas, se refiere no sólo a la redundancia, sino a la detecciónde errores. Por lo general, la tolerancia a fallas conduce a un elementohardware redundante, que entra en funcionamiento de forma automática enel caso que el componente primario falle. Sin embargo la tolerancia a fallaspuede ser algo como duplicar la FAT (tabla de localización de archivos) y lasentradas de directorio en áreas distintas de un mismo disco, o una simpleverificación de lectura tras escritura, con lo que se asegura que los datosnunca se escriben en un sector dañado del disco.

No todas las redes requieren el mismo grado de tolerancia a fallas.

3.6.5 Protegiendo la Red

Estaciones de trabajo sin floppy disk. Una posible solución para poderimpedir la copia de programas y datos fuera de la red en disquetes, y que através de los disquetes ingresen virus y otros programas dañinos a la red, esdotar a los usuarios vulnerables con estaciones de trabajo sin floppy disk.

3.6.6 Tecnología RAID, (Ofrece tolerancia a fallas y corrige errores)

RAID (Arreglo Redundante de Discos Asequibles) reemplaza los sistemas dealmacenamiento, grandes y costosos, con múltiples unidades de disco duro,pequeñas e idénticas. Potencialmente la tecnología RAID puede reducir elcosto del almacenamiento, aumentar la velocidad y mejorar la confiabilidaddel sistema.

El arreglo RAID sólo responde como un disco duro grande, en lugar devarios discos identificados por letras (en el caso de múltiples discos durosconectados a una computadora estándar). Más importante aún, el contenidode un archivo no está concentrado en un sólo disco duro, sino que estáesparcido a lo largo del arreglo, aumentando la seguridad de la información.

Sin embargo, esta seguridad tiene su precio. El precio por megabytedisminuye a medida que aumenta la capacidad del disco, por lo tanto unarreglo de discos menores inherentemente cuesta más que una unidadmayor de la misma capacidad total.

RAID también requiere un controlador de disco duro especial como elUltraStor Ultra 124F basado en EISA. Un sistema RAID ofrece menoscapacidad total que la suma de los discos que lo componen.



La redundancia en el diseño de RAID significa que una parte de los datosalmacenados se duplica para ayudar a detectar errores y corregirlos. Estemétodo de almacenamiento pone fin a los errores de lectura y escritura yofrece una verdadera tolerancia a fallas.

Además, los sistemas RAID pueden ofrecer a los usuarios de las redes,acceso a todos los datos, aunque un disco duro en el arreglo, fallecatastróficamente.

Esta tecnología va más allá de los asuntos de confiabilidad para mejorar elrendimiento. Los múltiples discos en el arreglo pueden leer y escribir losdatos en paralelo, dividiendo la información entre los discos a nivel de bit,byte o bloque, usando un proceso llamado la división de datos (datastriping), y potencialmente pueden multiplicar la transferencia deinformación máxima por el número de discos en el arreglo.

Los controladores de discos avanzados pueden manejar múltiples peticionessimultáneamente, un método de búsqueda que reduce el tiempo de accesoa casi cero. Con este proceso, uno de los discos realiza la búsqueda mientrasel sistema lee de otros discos.

NIVELES DE RAID

RAID viene en cinco niveles diferentes, los niveles del uno al cinco, cada unodiseñado para un uso específico. Estos números son simples designacionesde los diferentes métodos de proteger los datos en los discos duros y nodescriben los niveles de velocidad o calidad: RAID 1 no es mejor ni peor queRAID 5. El tipo de RAID apropiado para su servidor depende de cómo usa sured y el tipo de protección que desea proporcionarle.

• RAID 1. Significa una redundancia total, dos discos de igual capacidadque duplican el contenido (o reflejan), uno del otro. Uno resguarda alotro automática y continuamente. El arreglo regresa a una operación deun solo disco si cualquiera de las unidades falla.

• El Sistema RAID 1 está diseñado para los tipos de informacionesesenciales, cuyo reemplazo sería difícil y costoso. Aunque estaduplicación reduce la capacidad potencial de almacenamiento a lamitad, típicamente no tiene ningún efecto en el rendimiento. Sinembargo, los controladores RAID 1 sofisticados potencialmente, puedenduplicar el rendimiento leyendo sectores alternos de ambos discos.

• RAID 2. Divide cada bit de los bytes o bloques de información entrediscos separados y luego añade varios discos más para la corrección deerrores. Por ejemplo, un sistema RAID 2 almacena una informacióndigital de 16 bits en 16 discos, con 5 o 6 discos adicionales para lacorrección de errores, o información de paridad. El número exacto dediscos de corrección de errores que usa su sistema depende delalgoritmo de división que se emplee. La penalidad en el tamaño deldisco puede ser de hasta 37,5 por ciento, tres bits de corrección porcada ocho bits de información. Además, el diseño RAID 2 aumenta el



tamaño de la unidad de almacenamiento mínima (el tamaño de lossectores se multiplica por el número de discos, un arreglo de 16 discostiene sectores de 8.192 bits), haciéndolo ineficiente para almacenararchivos pequeños en tantos discos. Por otra parte RAID 2 logra razonesde transferencia más elevadas porque los discos manejan los bits enparalelo.

Los errores se corrigen sobre la marcha, sin efectuar el rendimiento,porque el controlador puede reconstituir la mayoría de los errores de lainformación redundante, sin tener que repetir la lectura de los discosduros.

• RAID 3. Elimina parte de la minuciosidad que ofrece RAID 2, ya queutiliza la detección de errores en lugar de la corrección de errores. Ladetección de errores mediante el proceso de verificación de paridadrequiere menos discos en el arreglo, típicamente uno por arreglo.Cuando el controlador detecta un error, hace que el arreglo vuelva a leerla información para resolver el problema. Esto requiere una revoluciónadicional en todos los discos del arreglo, lo que añade una pequeñademora en la operación del disco.

• RAID 4. Los sistemas RAID 4, trabajan a nivel de sector en lugar de anivel de bits. Los archivos se dividen entre los discos a nivel de sector,los sectores se leen serialmente, el primero de un disco, el segundo delpróximo disco, y así sucesivamente. Para detectar errores, RAID 4añade un disco dedicado a la paridad, mientras que el controlador deRAID 4 puede aumentar la velocidad con la división de datos. Se puedenleer simultáneamente dos o más sectores de discos diferentes,almacenarlos en RAM, que es mucho más rápida, normalmente variasórdenes de magnitud, y leerlos secuencialmente a la velocidad de lamemoria.

Los mejores controladores de RAID 4 también procesan múltiplespeticiones de datos simultáneamente, reorganizándolas, y luegoleyendo los discos de la manera más eficiente, una tecnología conocidacomo búsqueda elevadora (elevator seeking). Sin embargo, la escrituraes más lenta que la lectura porque RAID 4 usa una tecnología de leer -después de escribir. Después de escribir la información en el disco, selee para determinar la paridad y escribir esa información en el disco deparidad.

• RAID 5. Elimina el disco de paridad dedicado de un sistema RAID 4. Lainformación de paridad se añade como otro sector que rota por losdiscos del arreglo, exactamente igual a los datos ordinarios. Para unrendimiento mejor, los controladores de RAID 5 pueden añadir ladivisión de datos y la búsqueda elevadora. Además, el sistema puedetener suficiente redundancia para ser tolerante a las fallas.



VENTAJAS Y DESVENTAJAS DE LA TECNOLOGIA RAID

• Dos tipos de RAID dominan los arreglos usados por las computadoras.RAID 1 es popular en los servidores de archivos NetWare, aunqueNovell usualmente se refiere a esta tecnología como reflexión(mirroring). Sin embargo, la mayoría de los dispositivos decomputadoras llamados arreglos de discos, se adaptan al diseño RAID5, ya que RAID 4 no ofrece ventajas reales, y RAID 2 y RAID 3 requierendemasiados discos y tienen demasiadas desventajas para ser útiles en lamayoría de las aplicaciones del entorno de la PC.

• Además de las capacidades extremas que se pueden obtener de losmúltiples discos, la única ventaja que RAID ofrece a las computadorasde un solo usuario es potencialmente una mayor velocidad detransferencia. DOS usa entradas y salidas seriales (una petición dealmacenamiento se debe satisfacer antes de emitir la otra), lo que no sebeneficia de las búsquedas elevadoras.

• La confiabilidad adicional de un sistema RAID es una virtud dudosacuando los discos duros ordinarios tienen clasificaciones MTBF (meantime between failures o tiempo promedio entre roturas) de 150.000 a350.000 horas.

• Los servidores de archivos basados en PCs y la tecnología RAID, tienensentido cuando se comparan a los sistemas de almacenamiento en losmainframes y minicomputadoras tradicionales: con discos duros deltamaño de refrigeradores de alta capacidad.

• La protección de la información que ofrecen los arreglos RAID, sustituyela solidez mecánica de las unidades de discos grandes, mientras logranuna confiabilidad idéntica y en algunos casos superior.

FASE 4 : ESTRATEGIAS

Las estrategias de contingencia / continuidad de los negocios están diseñadas paraidentificar prioridades y determinar en forma razonable las soluciones a serseleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Hayque decidir si se adoptarán las soluciones a gran escala, como las opciones derecuperación de desastres para un centro de datos.

4.1 Actividades Importantes

• La revisión de procesos, flujos, funciones y opciones de importancia crítica.

• La definición de las opciones de contingencia seleccionadas para cada riesgoidentificado (nivel de componente, nivel de proceso de la empresa).

• La revisión / depuración del cronograma maestro, incluyendo prioridades,fechas importantes en el calendario de eventos y dependencias cruzadas endiversos proyectos o áreas.



• La consolidación de soluciones de acuerdo a las funciones o áreas de negociosmás importantes e identificar las estrategias globales.

• La identificación de los impactos de las soluciones y estrategias para ahorrarcostos, como puede ser la selección de una solución para cubrir varios riesgos,Se deben de considerar varios elementos de costo: como el costo de crear lasolución, el costo de implementar la solución, y el costo de mantener vigentedicha solución. Debido a que la continuidad de las operaciones de laorganización constituye el enfoque primordial, la estrategia de la empresa rigeel análisis de costos.

• La obtención de aprobaciones finales para el financiamiento, antes de que seapruebe la solución.

• La identificación de los beneficios es un elemento clave para asegurar que elcosto del proyecto este equilibrado con los retornos reales de la organización.

4.2 Preparativos para la Identificación de Soluciones Preventivas

Los puntos que deben ser cubiertos por todos las áreas informáticas y usuarios engeneral son:

• Respaldar toda la información importante en medio magnético, ya sea endisquetes, cintas o CD-ROM, dependiendo de los recursos con que cuente cadaárea. Acordamos que lo que debe respaldarse es INFORMACION y no lasaplicaciones.

• Generar discos de arranque para las máquinas dependiendo de su sistemaoperativo, ya sea DOS, Win95/98 o WinNT, libres de virus y protegidos contraescritura.

• Mantener una copia de antivirus más reciente en disco para emergencias(dependiendo del fabricante, variarán las instrucciones para generarlo).

• Guardar una copia impresa de la documentación de los sistemas e interfaces, aligual de los planes de contingencia definidos por el resto de las áreas.

• Instalar todos los Service Packs que el equipo necesite y llevar un registro delos mismos, en caso de formatear el equipo o desinstalar aplicaciones.



4.3 Medida de Precaución y Recomendación

4.3.1 En Relación al Centro de Cómputo

• Es recomendable que el Centro de Cómputo no esté ubicado en lasáreas de alto tráfico de personas o con un alto número de invitados.

• Hasta hace algunos años la exposición de los Equipos de Cómputo através de grandes ventanales, constituían el orgullo de la organización,considerándose necesario que estuviesen a la vista del público, siendoconstantemente visitados. Esto ha cambiado de modo radical,principalmente por el riesgo de terrorismo y sabotaje.

• Se deben evitar, en lo posible, los grandes ventanales, los cualesademás de que permiten la entrada del sol y calor (inconvenientes parael equipo de cómputo), puede ser un riesgo para la seguridad del Centrode Cómputo.

• Otra precaución que se debe tener en la construcción del Centro deCómputo, es que no existan materiales que sean altamente inflamables,que despiden humos sumamente tóxicos o bien paredes que no quedanperfectamente selladas y despidan polvo.

• El acceso al Centro de Cómputo debe estar restringido al personalautorizado. El personal de la Institución deberá tener su carné deidentificación siempre en un lugar visible.

• Se debe establecer un medio de control de entrada y salida de visitas alcentro de cómputo. Si fuera posible, acondicionar un ambiente o áreade visitas.

• Se recomienda que al momento de reclutar al personal se les debehacer además exámenes psicológicos y médico y tener muy en cuentasus antecedentes de trabajo, ya que un Centro de Cómputo depende engran medida, de la integridad, estabilidad y lealtad del personal.

• El acceso a los sistemas compartidos por múltiples usuarios y a losarchivos de información contenidos en dichos sistemas, debe estarcontrolado mediante la verificación de la identidad de los usuariosautorizados.

• Deben establecerse controles para una efectiva disuasión y detección, atiempo, de los intentos no autorizados de acceder a los sistemas y a losarchivos de información que contienen.

• Se recomienda establecer políticas para la creación de los password yestablecer periodicidad de cambios de los mismos.

• Establecer políticas de autorizaciones de acceso físico al ambiente y derevisiones periódicas de dichas autorizaciones.

• Establecer políticas de control de entrada y salida del personal, así comode los paquetes u objetos que portan.

• La seguridad de las terminales de un sistema en red podrán sercontrolados por medios de anulación del disk drive, cubriéndose de esamanera la seguridad contra robos de la información y el acceso de virusinformáticos.



• Los controles de acceso, el acceso en sí y los vigilantes deben estarubicados de tal manera que no sea fácil el ingreso de una personaextraña. En caso que ingresara algún extraño al centro de Cómputo, queno pase desapercibido y que no le sea fácil a dicha persona llevarse unarchivo.

• Las cámaras fotográficas no se permitirán en ninguna sala de cómputo,sin permiso por escrito de la Dirección.

• Asignar a una sola persona la responsabilidad de la protección de losequipos en cada área.

• El modelo de seguridad a implementar, estará basado en el entorno y enla política y estrategias de la instalación.

4.3.1.1 Respecto a la Administración de la Cintoteca:

• Debe ser administrada bajo la lógica de un almacén. Esto implicaingreso y salida de medios magnéticos (sean cintas, disquetescassettes, cartuchos, Discos remobibles, CD's, etc.), obviamenteteniendo más cuidado con las salidas.

• La cintoteca, que es el almacén de los medios magnéticos (seancintas, disquetes cassettes, cartuchos, Discos remobibles, CD's,etc.) y de la información que contienen, se debe controlar paraque siempre haya determinado grado de temperatura y de lahumedad.

• Todos los medios magnéticos deberán tener etiquetas quedefinan su contenido y nivel de seguridad.

• El control de los medios magnéticos debe ser llevado medianteinventarios periódicos.

4.3.1.2 Respecto a la Administración de Impresoras:

• Todo listado que especialmente contenga informaciónconfidencial, debe ser destruido, así como el papel carbón de losformatos de impresión especiales.

• Establecer controles de impresión, respetando prioridades deacuerdo a la cola de impresión.

• Establecer controles respecto a los procesos remotos deimpresión.

Niveles de Control:

Existen dos tipos de activos en un Centro de Cómputo. Los equiposfísicos y la información contenida en dichos equipos. Estos activosson susceptibles de robo o daño del equipo, revelación odestrucción no autorizada de la información clasificada, ointerrupción del soporte a los procesos del negocio, etc.



El valor de los activos a proteger, está determinado por el nivel declasificación de la información y por el impacto en el negocio,causado por pérdida o destrucción del Equipo o información. Hayque distinguir los activos en nivel clasificado y no clasificado. Paralos de nivel no clasificado, no será necesario control. Cualquiercontrol debe basarse únicamente en el valor del equipo y serviciosque ellos prestan.

En cambio tratándose de nivel clasificado, deben observarseademás todas la medidas de seguridad de la información que estosequipos contengan.

4.3.2 Medios de Almacenamientos

4.3.2.1 Recomendaciones para el Mantenimiento de Cintas Magnéticas yCartuchos.

Las cintas magnéticas y cartuchos deben guardarse bajo ciertascondiciones, con la finalidad de garantizar una adecuadaconservación de la información almacenada.

a. Cintas Magnéticas:

! La temperatura y humedad relativa del ambiente en que seencuentran almacenados deben estar en el siguiente rango:

Temperatura : 4ºC a 32ºC

Humedad Relativa : 20 % a 80 %

! El ambiente debe contar con aire acondicionado.

! Las cintas deben colocarse en estantes o armariosadecuados.

! Deberá mantenerse alejados de los campos magnéticos.

! Se les debe dar un mantenimiento preventivo en formaperiódica a fin de desmagnetizar impurezas que se hayanregistrado sobre ellas.

b. Cartuchos:

! La temperatura y humedad relativa del ambiente en que seencuentran almacenados deben estar en el siguiente rango:

Temperatura : 16ºC a más

Humedad Relativa : 20 % a 80 %

! La temperatura interna del Drive puede oscilar entre: 5ºC a45ºC.



! Deben ser guardados dentro de su caja de plástico.

! Deben mantenerse alejados de campos magnéticos.

4.3.2.2 Recomendaciones para el Mantenimiento de Discos Magnéticos

Las recomendaciones para el buen mantenimiento de los discosmagnéticos son:

a. En general los discos magnéticos son medios dealmacenamiento "delicados", pues si sufren un pequeño golpepuede ocasionar que la información se dañe o producir unCRASH al sistema.

b. El cabezal de lectura-escritura debe estar lubricado para evitardaños al entrar en contacto con la superficie del disco.

c. Se debe evitar que el equipo sea colocado en una zona dondese acumule calor, ya que el calor interfiere en los discos cuandoalgunas piezas se dilatan más que otras, o se secan loslubricantes. Con ello se modifican la alineación entre el disco ylos cabezales de lectura-escritura, pudiéndose destruir lainformación.

d. Las ranuras de los ventiladores de refrigeración deben estarlibres.

e. Se debe evitar, en lo posible, la introducción de partículas depolvo que pueden originar serios problemas.

4.3.2.3 Recomendaciones para el Mantenimiento de los Discos Duros

Aunque el conjunto de cabezales y discos viene de fábrica selladoherméticamente, debe evitarse que los circuitos electrónicos que seencuentran alrededor se llenen de partículas de polvo y suciedadque pudieran ser causa de errores.

El ordenador debe colocarse en un lugar donde no pueda sergolpeado, de preferencia sobre un escritorio resistente y amplio.

Se debe evitar que la microcomputadora se coloque en zonasdonde haya acumulación de calor. Esta es una de las causas másfrecuentes de las fallas de los discos duros, sobre todo cuandoalgunas piezas se dilatan más que otras.

No se debe mover la CPU conteniendo al disco duro cuando estéencendido, porque los cabezales de lectura-escritura pueden dañaral disco.

Una de las medidas más importantes en este aspecto, es hacer quela gente tome conciencia de lo importante que es cuidar unMicrocomputador.



4.3.2.4 Recomendaciones para el Mantenimiento de Disquetes

Las recomendaciones que a continuación se sugieren se aplican engeneral para los diferentes tipos de disquetes: de 5 ¼" y 3 ½" de altay baja densidad en ambos casos.

a. Debe mantenerse a una temperatura normal, en un rangocomprendido entre los 10ºC y 52ºC, con la finalidad de evitarque se deteriore el material del cual está hecho.

b. Para coger el disquete debe hacerse por la parte plástica ynunca por la parte física interna, debido a que por su tecnología,el proceso de almacenamiento es magnético y el cuerpohumano ejerce cierta fuerza magnética y puededesmagnetizarse.

c. De manera similar, no debe acercarse a los disquetes ningúncuerpo con propiedades magnéticas (como los imanes), ya quepodrían provocar la pérdida irrecuperable de los datos yaalmacenados.

d. Cuando se esté grabando o borrando información no se debelevantar la compuerta del disk drive (disquete de 5 ¼") opresionar el botón (disquete de 3 ½"), porque puede ocurrir queno sólo se dañe la información restante, sino también el formatológico, tomándolos como bloques de sectores dañados.

e. Los disquetes deben mantenerse en sus respectivas fundas y ensu manipuleo se debe evitar:

• Doblar los disquetes

• Colocar un peso sobre ellos, debiendo mantenerse en zonaslibres.

• Tratarlos como una placa simple de plástico, es decir, no sedebe usar clips o grapas para unirlos con otros materiales(hojas u otros disquetes).

4.3.3 Respecto a los Monitores

La forma más fácil y común de reducir la fatiga en la visión que resulta demirar a una pantalla todo el día, es el uso de medidas contra la refección.

Generalmente éstos vienen en forma de una pantalla con un terminadoáspero o algún tipo de capa contra brillo con una base de sílice, sobre lasuperficie de la pantalla del monitor.

Se recomienda sentarse por lo menos a 60 cm. (2 pies) de la pantalla. Nosólo ésto reducirá su exposición a las emisiones (que se disipan a una razón



proporcional al cuadrado de la distancia), sino que puede ayudar a reducir elesfuerzo visual.

También manténgase por lo menos a 1 m. o 1.20 m. (3 o 4 pies) del monitorde su vecino, ya que la mayoría de los monitores producen más emisionespor detrás, que por delante.

Finalmente apague su monitor cuando no lo esté usando

4.3.4 Recomendación para el Cuidado del Equipo de Cómputo

Teclado. Mantener fuera del teclado grapas y clips pues, de insertarse entrelas teclas, puede causar un cruce de función.

Cpu. Mantener la parte posterior del cpu liberado en por lo menos 10 cm.Para asegurar así una ventilación mínima adecuada.

Mouse. Poner debajo del mouse una superficie plana y limpia, de tal maneraque no se ensucien los rodillos y mantener el buen funcionamiento de éste.

Protectores de pantalla. Estos sirven para evitar la radiación de las pantallasa color que causan irritación a los ojos.

Impresora. El manejo de las impresoras, en su mayoría, es a través de losbotones, tanto para avanzar como para retroceder el papel.

Por Ejemplo:Caso Epson FX-1170/LQ-1070 no usar rodillo cuando esté prendido.

Caso Epson DFX-5000/8000 tratar con cuidado los sujetadores de papel yno apagar de súbito, asegurarse que el ON LINE esté apagado, asíevitaremos problemas de cabezal y sujetador.

Caso de mala impresión, luego de imprimir documentos o cuadrosgenerados, apagar por unos segundos la impresora para que se pierda el setdejado.

4.3.4.1 Mantener las Areas Operativas Limpias y Pulcras

Todas las razones para mantener las áreas operativas limpias ypulcras son numerosas, para enunciarlas aquí. Sin embargo,algunos de los problemas que usted puede evitar son: el peligro defuego generado por la acumulación de papeles bajo el falso piso, eldaño potencial al equipo por derramar el café, leche o chocolate enlos componentes del sistema, el peligro de fuego que se presentanpor el excesivo almacenamiento de hojas continuas, el peligro porfumar y las falsas alarmas creadas por detectores de humo. Estosson solamente algunos de los problemas encontrados en las áreasoperativas con reglas poco estrictas de limpieza.



FASE 5 : DOCUMENTACION DEL PROCESO

Todo el proceso de lograr identificar soluciones ante determinados problemas no tendrásu efecto verdadero si es que no se realiza una difusión adecuada de todos los puntosimportantes que este implica, y un plan de Contingencia con mucho mayor razónnecesita de la elaboración de una documentación que sea eficientemente orientada.

Como puntos importantes que debe de incluir esta documentación podremos citar lassiguientes:

• Cuadro de descripción de los equipos y las tareas para ubicar las soluciones a lascontingencias.

• La documentación de los riesgos, opciones y soluciones por escrito y en detalle.

• La identificación y documentación de listas de contacto de emergencia, laidentificación de responsables de las funciones con el fin de garantizar que siemprehaya alguien a cargo, y que pueda ser contactada si falla un proceso de importancia.

FASE 6 : REALIZACION DE PRUEBAS Y VALIDACION

6.1 Plan de Recuperación de Desastres

Es importante definir los procedimientos y planes de acción para el caso de unaposible falla, siniestro o desastre en el área Informática, considerando como taltodas las áreas de los usuarios que procesan información por medio de lacomputadora.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivoque la originó y el daño producido, lo que permitirá recuperar en el menor tiempoposible el proceso perdido.

La elaboración de los procedimientos que se determinen como adecuados para uncaso de emergencia, deben ser planeados y probados fehacientemente.

Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidadde los encargados de la realización de los mismos, debiendo haber procesos deverificación de su cumplimiento. En estos procedimientos estará involucrado todoel personal de la Institución.

Los procedimientos de planes de recuperación de desastres deben de emanar de lamáxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.

Las actividades a realizar en un Plan de Recuperación de Desastres se puedenclasificar en tres etapas:

6.1.1 Actividades Previas al Desastre.

6.1.2 Actividades Durante el Desastre.

6.1.3 Actividades Después del Desastre.



6.1.1 Actividades Previas al Desastre

Son todas las actividades de planeamiento, preparación, entrenamiento yejecución de las actividades de resguardo de la información, que nosaseguren un proceso de Recuperación con el menor costo posible a nuestraInstitución.Podemos detallar las siguientes Actividades Generales :

- Establecimiento del Plan de Acción.

- Formación de Equipos Operativos.

- Formación de Equipos de Evaluación (auditoría de cumplimiento de losprocedimientos sobre Seguridad).

! Establecimiento de Plan de Acción

En esta fase de Planeamiento se debe de establecer los procedimientosrelativos a:

a) Sistemas e Información.

b) Equipos de Cómputo.

c) Obtención y almacenamiento de los Respaldos de Información(BACKUPS).

d) Políticas (Normas y Procedimientos de Backups).

a) Sistemas e Información. La Institución deberá tener una relación delos Sistemas de Información con los que cuenta, tanto los realizadospor el centro de cómputo como los hechos por las áreas usuarias.Debiendo identificar toda información sistematizada o no, que seanecesaria para la buena marcha Institucional.

La relación de Sistemas de Información deberá detallar los siguientesdatos:

• Nombre del Sistema.

• Lenguaje o Paquete con el que fue creado el Sistema. Programasque lo conforman (tanto programas fuentes como programasobjetos, rutinas, macros, etc.).

• La Dirección (Gerencia, Departamento, etc.) que genera lainformación base (el «dueño» del Sistema).

• Las unidades o departamentos (internos/externos) que usan lainformación del Sistema.

• El volumen de los archivos que trabaja el Sistema.

• El volumen de transacciones diarias, semanales y mensuales quemaneja el sistema.



• El equipamiento necesario para un manejo óptimo del Sistema.

• La(s) fecha(s) en las que la información es necesitada con carácterde urgencia.

• El nivel de importancia estratégica que tiene la información deeste Sistema para la Institución (medido en horas o días que laInstitución puede funcionar adecuadamente, sin disponer de lainformación del Sistema). Equipamiento mínimo necesario paraque el Sistema pueda seguir funcionando (considerar suutilización en tres turnos de trabajo, para que el equipamiento seael mínimo posible).

• Actividades a realizar para volver a contar con el Sistema deInformación (actividades de Restore).

Con toda esta información se deberá de realizar una lista priorizada(un ranking) de los Sistemas de Información necesarios para que laInstitución pueda recuperar su operatividad perdida en el desastre(contingencia).

b) Equipos de Cómputo. Aparte de las Normas de Seguridad que severán en los capítulos siguientes, hay que tener en cuenta:

• Inventario actualizadode los equipos de manejode información (compu-tadoras, lectoras demicrofichas, impresoras,etc.), especificando sucontenido (software queusa, principales archivosque contiene), su ubicacióny nivel de uso Institucional.

• • Pólizas de SegurosComerciales. Como partede la protección de losActivos Institucionales,pero haciendo la salvedaden el contrato, que encasos de siniestros, larestitución del Computador

siniestrado se podrá hacer por otro de mayor potencia (poractualización tecnológica), siempre y cuando esté dentro de losmontos asegurados.

• Señalización o etiquetado de los Computadores de acuerdo a laimportancia de su contenido, para ser priorizados en caso deevacuación. Por ejemplo etiquetar (colocar un sticker) de colorrojo a los Servidores, color amarillo a las PC's con Informaciónimportante o estratégica y color verde a las PC's de contenidosnormales.



• Tener siempre actualizada una relación de PC's requeridas comomínimo para cada Sistema permanente de la Institución (que porsus funciones constituyen el eje central de los ServiciosInformáticos de la Institución), las funciones que realizaría y suposible uso en dos o tres turnos de trabajo, para cubrir lasfunciones básicas y prioritarias de cada uno de estos Sistemas.

c) Obtención y Almacenamiento de los Respaldos de Información(BACKUPS).

Se deberá establecer los procedimientos para la obtención de copiasde Seguridad de todos los elementos de software necesarios paraasegurar la correcta ejecución de los Sistemas o aplicativos de laInstitución. Para lo cual se debe contar con:

• Backups del Sistema Operativo (en caso de tener varios SistemasOperativos o versiones, se contará con una copia de cada uno deellos).

• Backups del Software Base (Paquetes y/o Lenguajes deProgramación con los cuales han sido desarrollados o interactúannuestros Aplicativos Institucionales).

• Backups del Software Aplicativo (Considerando tanto losprogramas fuentes, como los programas objetoscorrespondientes, y cualquier otro software o procedimiento quetambién trabaje con la data, para producir los resultados con loscuales trabaja el usuario final). Se debe considerar también lascopias de los listados fuentes de los programas definitivos, paracasos de problemas.

• Backups de los Datos (Bases de Datos, Indices, tablas devalidación, passwords, y todo archivo necesario para la correctaejecución del Software Aplicativo de nuestra Institución).

• Backups del Hardware. Se puede implementar bajo dosmodalidades:

Modalidad Externa. Mediante convenio con otra Institución quetenga equipos similares o mayores y que brinden la seguridad depoder procesar nuestra Información, y ser puestos a nuestradisposición, al ocurrir una contingencia y mientras se busca unasolución definitiva al siniestro producido. Este tipo de conveniosdebe tener tanto las consideraciones de equipamiento como deambientes y facilidades de trabajo que cada institución secompromete a brindar, y debe de ser actualizado cada vez que seefectúen cambios importantes de sistemas que afecten acualquiera de las instituciones.

Modalidad Interna. Si tenemos más de un local, en ambosdebemos tener señalados los equipos, que por sus característicastécnicas y capacidades, son susceptibles de ser usados comoequipos de emergencia del otro local, debiéndose poner por



escrito (igual que en el caso externo), todas las actividades arealizar y los compromisos asumidos.

En ambos casos se deberá probar y asegurar que los procesos derestauración de Información posibiliten el funcionamientoadecuado de los Sistemas. En algunos casos puede ser necesariovolver a recompilar nuestro software aplicativo bajo plataformasdiferentes a la original, por lo que es imprescindible contar conlos programas fuentes, al mismo grado de actualización que losprogramas objeto.

d) Políticas (Normas y Procedimientos de Backups)

Se debe establecer los procedimientos, normas, y determinación deresponsabilidades en la obtención de los Backups mencionadosanteriormente en el punto «c», debiéndose incluir:

• Periodicidad de cada Tipo de Backup.

• Respaldo de Información de movimiento entre los períodos queno se sacan Backups (backups incrementales).

• Uso obligatorio de un formulario estándar para el registro ycontrol de los Backups.

• Correspondencia entre la relación de Sistemas e Informacionesnecesarias para la buena marcha de la empresa, y los backupsefectuados.

• Almacenamiento de los Backups en condiciones ambientalesóptimas, dependiendo del medio magnético empleado.

• Reemplazo de los Backups, en forma periódica, antes que elmedio magnético de soporte se pueda deteriorar (reciclaje orefresco).

• Almacenamiento de los Backups en locales diferentes dondereside la información primaria (evitando la pérdida si el desastrealcanzo todo el edificio o local estudiado).

• Pruebas periódicas de los Backups (Restore), verificando sufuncionalidad, a través de los sistemas, comparando contraresultados anteriores confiables.

! Formación de Equipos Operativos

En cada unidad operativa de la Institución, que almacene información ysirva para la operatividad Institucional, se deberá designar unresponsable de la seguridad de la Información de su unidad. Pudiendoser el jefe de dicha Area Operativa.

Sus labores serán:

• Ponerse en contacto con los propietarios de las aplicaciones ytrabajar con ellos.



• Proporcionar soporte técnico para las copias de respaldo de lasaplicaciones.

• Planificar y establecer los requerimientos de los sistemas operativosen cuanto a archivos, bibliotecas, utilitarios, etc., para los principalessistemas y subsistemas.

• Supervisar procedimientos de respaldo y restauración.

• Supervisar la carga de archivos de datos de las aplicaciones, y lacreación de los respaldos incrementales.

• Coordinar líneas, terminales, módem, otros aditamentos paracomunicaciones.

• Establecer procedimientos de seguridad en los sitios derecuperación.

• Organizar la prueba de hardware y software.

• Ejecutar trabajos de recuperación.

• Cargar y probar archivos del sistema operativo y otros sistemasalmacenados en el local alternante.

• Realizar procedimientos de control de inventario y seguridad delalmacenamiento en el local alternante.

• Establecer y llevar a cabo procedimientos para restaurar el lugar derecuperación.

• Participar en las pruebas y simulacros de desastres.

! Formación de Equipos de Evaluación (Auditoría de cumplimiento de losprocedimientos sobre Seguridad)

Esta función debe ser realizada de preferencia por personal deInspectoría, de no ser posible, la realizará el personal del área deInformática, debiendo establecerse claramente sus funciones,responsabilidades y objetivos :

• Revisar que las Normas y procedimientos con respecto a Backups yseguridad de equipos y data se cumpla.

• Supervisar la realización periódica de los backups, por parte de losequipos operativos, comprobando físicamente su realización,adecuado registro y almacenamiento.

• Revisar la correlación entre la relación de Sistemas e Informacionesnecesarios para la buena marcha de la Institución, y los backupsrealizados.

• Informar de los cumplimientos e incumplimientos de las Normas,para las acciones de corrección respectivas.

6.1.2 Actividades Durante el Desastre

Una vez presentada la Contingencia o Siniestro, se deberá ejecutar lassiguientes actividades, planificadas previamente:



a) Plan de Emergencias.

b) Formación de Equipos.

c) Entrenamiento.

a) Plan de Emergencias

En este plan se establecen las acciones se deben realizar cuando sepresente un Siniestro, así como la difusión de las mismas.

Es conveniente prever los posibles escenarios de ocurrencia delSiniestro:

Durante el día.Durante la Noche o madrugada.

Este plan deberá incluir la participación y actividades a realizar por todasy cada una de las personas que se pueden encontrar presentes en el áreadonde ocurre el siniestro, debiendo detallar :

• Vías de salida o escape.

• Plan de Evacuación del Personal.

• Plan de puesta a buen recaudo de los activos (incluyendo los activosde Información) de la Institución (si las circunstancias del siniestro loposibilitan)

• Ubicación y señalización de los elementos contra el siniestro(extinguidores, cobertores contra agua, etc.)

• Secuencia de llamadas en caso de siniestro, tener a la mano:elementos de iluminación (linternas), lista de teléfonos de Bomberos /Ambulancia, Jefatura de Seguridad y de su personal (equipos deseguridad) nombrados para estos casos.

b) Formación de Equipos

Establecer claramente cada equipo (nombres, puestos, ubicación, etc.)con funciones claramente definidas a ejecutar durante el siniestro.

Si bien la premisa básica es la protección de la Integridad del personal,en caso de que el siniestro lo permita (por estar en un inicio o estar enuna área cercana, etc.), deberá de existir dos equipos de personas queactúen directamente durante el siniestro, un equipo para combatir elsiniestro y otro para el salvamento de los recursos Informáticos, deacuerdo a los lineamientos o clasificación de prioridades.



c) Entrenamiento

Establecer un programa de prácticas periódicas de todo el personal en lalucha contra los diferentes tipos de siniestros, de acuerdo a los roles quese le hayan asignado en los planes de evacuación del personal oequipos, para minimizar costos se puede aprovechar fechas de recargade extinguidores, charlas de los proveedores, etc.

Un aspecto importante es que el personal tome conciencia de que lossiniestros (incendios, inundaciones, terremotos, apagones, etc.) puedenrealmente ocurrir, y tomen con seriedad y responsabilidad estosentrenamientos, para estos efectos es conveniente que participen loselementos directivos, dando el ejemplo de la importancia que la altadirección otorga a la Seguridad Institucional.

6.1.3 Actividad Después del Desastre

Después de ocurrido el Siniestro o Desastre es necesario realizar lasactividades que se detallan, las cuales deben estar especificadas en el Plande Acción.

a) Evaluación de Daños.

b) Priorización de Actividades del Plan de Acción.

c) Ejecución de Actividades.

d) Evaluación de Resultados.

e) Retroalimentación del Plan de Acción.

a) Evaluación de Daños.

Inmediatamente después que el siniestro ha concluido, se deberá evaluarla magnitud del daño que se ha producido, que sistemas se estánafectando, que equipos han quedado no operativos, cuales se puedenrecuperar, y en cuanto tiempo, etc.

Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cualtenemos el convenio de respaldo, para ir avanzando en las labores depreparación de entrega de los equipos por dicha Institución.

b) Priorización de Actividades del Plan de Acción.

Toda vez que el Plan de Acción es general y contempla una pérdida total,la evaluación de daños reales y su comparación contra el Plan, nos darála lista de las actividades que debemos realizar, siempre priorizándola envista a las actividades estratégicas y urgentes de nuestra Institución.

Es importante evaluar la dedicación del personal a actividades quepuedan no haberse afectado, para ver su asignamiento temporal a las



actividades afectadas, en apoyo al personal de los sistemas afectados ysoporte técnico.

c) Ejecución de Actividades.

La ejecución de actividades implica la creación de equipos de trabajopara realizar las actividades previamente planificadas en el Plan deacción. Cada uno de estos equipos deberá contar con un coordinadorque deberá reportar diariamente el avance de los trabajos derecuperación y, en caso de producirse algún problema, reportarlo deinmediato a la jefatura a cargo del Plan de Contingencias.

Los trabajos de recuperación tendrán dos etapas, la primera larestauración del servicio usando los recursos de la Institución o local derespaldo, y la segunda etapa es volver a contar con los recursos en lascantidades y lugares propios del Sistema de Información, debiendo seresta última etapa lo suficientemente rápida y eficiente para no perjudicarel buen servicio de nuestro Sistema e imagen Institucional, como para noperjudicar la operatividad de la Institución o local de respaldo.

d) Evaluación de Resultados

Una vez concluidas las labores de Recuperación del (los) Sistema(s) quefueron afectados por el siniestro, debemos de evaluar objetivamente,todas las actividades realizadas, que tan bien se hicieron, que tiempotomaron, que circunstancias modificaron (aceleraron o entorpecieron) lasactividades del plan de acción, como se comportaron los equipos detrabajo, etc.

De la Evaluación de resultados y del siniestro en si, deberían de salir dostipos de recomendaciones, una la retroalimentación del plan deContingencias y otra una lista de recomendaciones para minimizar losriesgos y pérdida que ocasionaron el siniestro.

e) Retroalimentación del Plan de Acción.

Con la evaluación de resultados, debemos de optimizar el plan de acciónoriginal, mejorando las actividades que tuvieron algún tipo de dificultad yreforzando los elementos que funcionaron adecuadamente.

El otro elemento es evaluar cual hubiera sido el costo de no haber tenidonuestra Institución el plan de contingencias llevado a cabo.

FASE 7 : IMPLEMENTACION

La fase de implementación se da cuando han ocurrido o están por ocurrir los problemaspara este caso se tiene que tener preparado los planes de contingencia para poderaplicarlos. Puede también tratarse esta etapa como una prueba controlada.



7.1 De las Emergencia Físicas

CASO A: Error Físico de Disco de un Servidor (Sin RAID).

Dado el caso crítico de que el disco presenta fallas, tales que no pueden serreparadas, se debe tomar las acciones siguientes:

1. Ubicar el disco malogrado.2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y

teléfono a jefes de área.3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.4. Bajar el sistema y apagar el equipo.5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle

partición.6. Restaurar el último backup en el disco, seguidamente restaurar las

modificaciones efectuadas desde esa fecha a la actualidad.7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen

estado.8. Habilitar las entradas al sistema para los usuarios.

CASO B: Error de Memoria RAM

En este caso se dan los siguiente síntomas:

• El servidor no responde correctamente, por lentitud de proceso o por no rendirante el ingreso masivo de usuarios.

• Ante procesos mayores se congela el proceso.

• Arroja errores con mapas de direcciones hexadecimales.

• Es recomendable que el servidor cuente con ECC (error correct checking), por lotanto si hubiese un error de paridad, el servidor se autocorregirá.

Todo cambio interno a realizarse en el servidor será fuera de horario de trabajofijado por la compañía, a menos que la dificultad apremie, cambiarloinmediatamente.

Se debe tomar en cuenta que ningún proceso debe quedar cortado, y se debentomar las acciones siguientes:

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red yteléfono a jefes de área.

2. El servidor debe estar apagado, dando un correcto apagado del sistema.

3. Ubicar las memorias malogradas.

4. Retirar las memorias malogradas y reemplazarlas por otras iguales o similares.

5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás delservidor, ello evitará que al encender el sistema, los usuarios ingresen.



6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable haciael concentrador, habilitar entradas para estaciones en las cuales se realizaránlas pruebas.

7. Probar los sistemas que están en red en diferentes estaciones.

8. Finalmente luego de los resultados, habilitar las entradas al sistema para losusuarios.

CASO C: Error de Tarjeta(s) Controladora(s) de Disco

Se debe tomar en cuenta que ningún proceso debe quedar cortado, debiéndoseejecutar las siguientes acciones:

1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red yteléfono a jefes de área.

2. El servidor debe estar apagado, dando un correcto apagado del sistema.3. Ubicar la posición de la tarjeta controladora.4. Retirar la tarjeta con sospecha de deterioro y tener a la mano otra igual o

similar.5. Retirar la conexión del servidor con el concentrador, ésta se ubica detrás del

servidor, ello evitará que al encender el sistema, los usuarios ingresen.6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia

el concentrador, habilitar entradas para estaciones en las cuales se realizaránlas pruebas.

7. Al final de las pruebas, luego de los resultados de una buena lectura deinformación, habilitar las entradas al sistema para los usuarios.

CASO D: Caso de Incendio Total

En el momento que se dé aviso por los altavoces de alguna situación deemergencia general, se deberá seguir al pie de la letra los siguientes pasos, losmismos que están encausados a salvaguardar la seguridad personal, el equipo y losarchivos de información que tenemos en cintas magnéticas.

• Ante todo, se recomienda conservar la serenidad. Es obvio que en una situaciónde este tipo, impera el desorden, sin embargo, es muy recomendable tratar deconservar la calma, lo que repercutirá en un adecuado control de nuestrasacciones.

• En ese momento cualquiera que sea(n) el (los) proceso(s) que se esté(n)ejecutando en el Computador Principal, se deberá enviar un mensaje (si eltiempo lo permite) de "Salir de Red y Apagar Computador",seguidamente digitar Down en el (los) servidor(es).

• Se apagará (poner en OFF) la caja principal de corriente del departamento desistemas.

• Tomando en cuenta que se trata de un incendio de mediana o mayor magnitud,se debe tratar en lo posible de trasladar el servidor fuera del local, seabandonará el edificio en forma ordenada, lo más rápido posible, por las salidasdestinadas para ello.



CASO E: Caso de Inundación

• Para evitar problemas con inundaciones se ha de instalar tarimas de unpromedio de 20 cm de altura para la ubicación de los servidores. De estamanera evitaremos inconvenientes como el referido.

• En lo posible, los tomacorrientes deben ser instalados a un nivel razonable dealtura.

• Dado el caso de que se obvió una conexión que está al ras del piso, ésta debeser modificada su ubicación o en su defecto anular su conexión.

• Para prevenir los corto circuitos, asegurarse de que no existan fuentes delíquidos cerca a las conexiones eléctricas.

• Proveer cubiertas protectoras para cuando el equipo esté apagado.

CASO F: Caso de Fallas de Fluido Eléctrico

Se puede presentar lo siguiente:

1. Si fuera corto circuito, el UPS mantendrá activo los servidores y algunasestaciones, mientras se repare la avería eléctrica o se enciende el generador.

2. Para el caso de apagón se mantendrá la autonomía de corriente que el UPS nosbrinda (corriente de emergencia(*)), hasta que los usuarios completen susoperaciones (para que no corten bruscamente el proceso que tienen en elmomento del apagón), hasta que finalmente se realice el By-pass de corrientecon el grupo electrógeno, previo aviso y coordinación.

3. Cuando el fluido eléctrico de la calle se ha restablecido se tomarán los mismoscuidados para el paso de grupo electrógeno a corriente normal (o UPS).

* Llámese corriente de emergencia a la brindada por grupo electrógeno y/oUPS.

** Llámese corriente normal a la brindada por la compañía eléctrica.*** Se contará con transformadores de aislamiento (nivelan la corriente)

asegurando que la corriente que entre y salga sea 220v, evitando que losequipos sufran corto circuito por elevación de voltaje (protegiendo deesta manera las tarjetas, pantallas y CPU del computador).

7.2 De las Emergencias Lógicas de Datos

CASO A: Error Lógico de Datos

La ocurrencia de errores en los sectores del disco duro del servidor puede debersea una de las siguientes causas:

• Caída del servidor de archivos por falla de software de red.

• Falla en el suministro de energía eléctrica por mal funcionamiento del UPS.

• Bajar incorrectamente el servidor de archivos.

• Fallas causadas usualmente por un error de chequeo de inconsistencia física.



En caso de producirse alguna de las situaciones descritas anteriormente; se debenrealizar las siguientes acciones:

PASO 1: Verificar el suministro de energía eléctrica. En caso de estar conforme,proceder con el encendido del servidor de archivos, una vez mostrado el prompt deDos, cargar el sistema operativo de red.

PASO 2: Deshabilitar el ingreso de usuarios al sistema.

PASO 3: Descargar todos los volúmenes del servidor, a excepción del volumen raíz.De encontrarse este volumen con problemas, se deberá descargarlo también.

PASO 4: Cargar un utilitario que nos permita verificar en forma global el contenidodel(os) disco(s) duro(s) del servidor.

PASO 5: Al término de la operación de reparación se procederá a habilitar entradasa estaciones para manejo de soporte técnico, se procederá a revisar que las basesde datos índices estén correctas, para ello se debe empezar a correr los sistemas yasí poder determinar si el usuario puede hacer uso de ellos inmediatamente.

Si se presenta el caso de una o varias bases de datos no reconocidas como tal, sedebe recuperar con utilitarios.

CASO B: Caso de Virus

Dado el caso crítico de que se presente virus en las computadoras se procederá a losiguiente:

Para servidor:

• Se contará con antivirus para el sistema que aíslan el virus que ingresa alsistema llevándolo a un directorio para su futura investigación

• El antivirus muestra el nombre del archivo infectado y quién lo usó.

• Estos archivos (exe, com, ovl, nlm, etc.) serán reemplazados del diskett originalde instalación o del backup.

• Si los archivos infectados son aislados y aún persiste el mensaje de que existevirus en el sistema, lo más probable es que una de las estaciones es la quecausó la infección, debiendo retirarla del ingreso al sistema y proceder a surevisión.

Para computadoras fuera de red:

Se revisará las computadoras que no estén en red con antivirus de disquete.De suceder que una computadora se haya infectado con uno o varios virus ya seaen la memoria o a nivel disco duro, se debe proceder a realizar los siguientespasos:

1. Utilizar un disquete que contenga sistema operativo igual o mayor en versión alinstalado en el computador infectado. Reiniciar el computador con dichodisquete.

2. Retirar el disquete con el que arrancó el computador e insertar el disqueteantivirus, luego activar el programa de tal forma que revise todos los archivos yno sólo los ejecutables. De encontrar virus, dar la opción de eliminar el virus. Si



es que no puede hacerlo el antivirus, recomendará borrar el archivo, tomar notade los archivos que se borren. Si éstos son varios pertenecientes al mismoprograma, reinstalar al término del Scaneado. Finalizado el scaneado,reconstruir el Master Boot del disco duro

FASE 8 : MONITOREO

La fase de Monitoreo nos dará la seguridad de que podamos reaccionar en el tiempopreciso y con la acción correcta. Esta fase es primordialmente de mantenimiento. Cadavez que se da un cambio en la infraestructura, debemos de realizar un mantenimientocorrectivo o de adaptación.

Un punto donde se tiene que actuar es por ejemplo cuando se ha identificado un nuevoriesgo o una nueva solución. En este caso, toda la evaluación del riesgo se cambia, ycomienza un nuevo ciclo completo, a pesar de que este esfuerzo podría ser menosexigente que el primero.

Esto es importante ya que nos alimentamos de las nuevas posibilidades de solucionesante nuevos casos que se puedan presentar.

Podríamos enumerar las actividades principales a realizar:

• Desarrollo de un mapa de funciones y factores de riesgo.

• Establecer los procedimientos de mantenimiento para la documentación y larendición de informes referentes a los riesgos.

• Revisión continua de las aplicaciones.

• Revisión continua del sistema de backup

• Revisión de los Sistemas de soporte eléctrico del Centro de Procesamiento de Datos.



Capítulo III: Visión Práctica para realizar un Plan deContingencia de los Sistemas de Información

PASOS PARA DESARROLLAR EL PLAN DE CONTINGENCIA DE LOSSISTEMAS DE INFORMACIÓN

ETAPA 1

Análisis ySelección de

lasOperaciones

críticas

ETAPA 2

Identificación deProcesos en

cada Operación

ETAPA 3

Listar losrecursos

utilizados porlas

Operaciones

ETAPA 4

Especificar losescenarios

dondeocurrirán losproblemas

ETAPA 5

Determinar ydetallar las

medidaspreventivas

ETAPA 6

Formación yFunciones delos Grupos de

trabajo

ETAPA 7

Desarrollo delos planes de

acción

ETAPA 8

Preparar la listade personas y

organizacionespara

comunicarse

ETAPA 9

Pruebas yMonitoreo



ETAPA I : Análisis y Selección de las Operaciones Críticas

En esta etapa hay que definir cuales serán nuestras operaciones críticas y tienen que serdefinidas en función a los componentes de los sistemas de información los cuales son:Datos, Aplicaciones, Tecnología Hardware y Software, instalaciones y personal.

Dentro de las cuales podemos identificar las siguientes, las cuales pueden variar desistema a sistema :

• Reportes Impresos de Informes del Sistema.• Consultas a las Bases de Datos vía Internet.• Consultas a las Bases de Datos vía LAN.• Sistema de Backup y Recuperación de Data.• Sistema de ingreso y modificación en la Base de Datos de documentos que llegan y

salen al exterior.• Los Servidores de Bases de Datos y Aplicaciones.• Los Servicios de Red.• Los Medios de Transmisión.• Las Topologías de Red.• Los Métodos de control de acceso.

Se ha listado los procesos críticos de manera genérica y evaluado su grado deimportancia en función a la magnitud del impacto si los procesos pueden detenerse, yluego clasificados en niveles H (Alta), R (Regular) y L (Bajo)

Se tiene que elaborar una tabla denominada Operaciones Críticas de los SI, que constade tres campos:

• Operaciones críticas• Objetivo de la Operación• Prioridad de la Operación

CUADRO 1. OPERACIONES CRITICAS DEL SISTEMA DE INFORMACION

Operaciones Críticas Objetivos de la OperaciónPrioridad de la

Operación

Reportes Impresos deInformes del Sistema

! Informes de los estadosfinancieros de laorganización.

! Informes de plantillas delpersonal.

! Informes de producciónmensual, anual.

R

Consultas a las Bases de Datos vía Internet

! Informes a los clientes.! Información a los

proveedores.! Sistema de ventas vía

Internet.

L

Consultas a las Bases deDatos vía LAN

! Inventarios! Revistas, electrónicas. R



Operaciones Críticas Objetivos de la OperaciónPrioridad de la

Operación

Sistema de Backup yRecuperación de Data

! Procesos de Backups de lainformación.

! Establecimiento de lasfrecuencias dealmacenamiento de datos.

H

Sistema de Ingreso ymodificación en la Base deDatos de documentos quellegan y salen al exterior.

! Proceso de los programasque realizan la entrada ysalida de la información.

! Mantenimiento adecuadode las aplicaciones.

! Equipamiento necesariopara un funcionamientooptimo del sistema.

H

H = Alta R = Regular L = Baja

Se ha tomado solo estas operaciones como modelo para detallar el desarrollo del Plan,pero cabe recordar que debemos de tener muy en cuenta que hay mas operaciones queson críticas y que debemos tener cuidado al identificarlas ya que esto contribuirá para elbuen desarrollo del Sistema de Información de su organización, es por eso que debemosde analizar con cuidado para no tener problemas posteriores.

CUADRO 2: PROCESOS ESTRATEGICOS DEL NEGOCIO

OPERACION PRINCIPAL CONTENIDO DE LA OPERACION PRIORIDAD DE LAOPERACION

VENTAS ( A ) ! Ventas a los clientes R

ORDENES ACEPTADAS ( B ) ! Aceptar órdenes de los clientes! Administración de las ventas a crédito

H

ENVIO Y REPARTO ( C ) ! Administración del inventario! Envío de productos! Reparto de las ventas a crédito

H

COMPRA ( D ) ! Dando órdenes a los fabricantes! Administración de la compra a crédito

H

PRODUCCIÓN ( E ) ! Fabricación H

ESTADÍSTICAS ( F ) ! Estadísticas mensuales! Estadísticas anuales

R

ELABORACION DE INFORMESDE LA ADMINISTRACIÓN (G) ! Elaboración de reportes totales de Administración L

H = Alta R = Regular L = Baja



• Para cada una de las operaciones principales, enumerar sus procesos.

• Investigar qué recursos de la empresa (equipamiento, herramientas, sistemas, etc.)son usados, descríbalos y enumérelos.

CUADRO 3 : ANALISIS SOBRE UN PROCESO DEL NEGOCIO

Nombre de la operación : Aceptación de órdenes

NÚMERO DEPROCEDIMIENTOS

PROCESOS DENEGOCIOS RECURSOS USADOS

NUMERO DESERIE DELRECURSO

ORDENES óNOTAS

Teléfonos fijos S1 Clientes E y F

PC´s S2 Clientes GB – 1 Recepción deórdenes de pedido

Líneas dedicadas S3 Clientes H

B – 2

Confirmar lacantidad total

límite de órdenesrecibidas

Sistema de aceptación dela orden (Software) S4

B – 3

Confirmar si secuenta con el

Stock paraatender los

pedidos

Sistema de aceptación dela orden S4

B – 4 Registrar lasórdenes



B – 5

Enviar lasconfirmaciones de

órdenes(faxearlas

automáticamente) Faxes S2 De nosotros paralos clientes

Indicar el envío oremitirlas

a sus respectivoscentros


B – 6

Líneas dedicadas S3

De los Gruposde Trabajo a los

centros dereparto

• Se utiliza las nomenclaturas para identificar los procedimientos y a que procesopertenece.

• Enumerar Recursos Utilizados para los Procesos

• Describir ubicaciones de proveedores de servicios por los procesos de cadaoperación.

• Investigue y describa a los proveedores de servicios.



CUADRO 4: LISTA DE RECURSOS UTILIZADOS

N° Serie delRecurso Recurso Ubicación Proveedor del Servicio Recursos de operaciones

utilizados por

S1-1 Externo Proveedor A B-1

S1-2Pc’s

Interno Soporte técnico B-1

S2-1 Externo Proveedor A B-1, B-5, K-1

S2-2

Software deAdministración de

compras Interno Soporte técnico B-1, K-1

S3 Líneas dedicadas Externo Teléfono A (Red) B-1, B-6, K-1

S4-1 Interno Desarrollo interno(aplicación)

B-2, B-3, B-4, B-5, B-6, S-10, N-1, N-6, N-7, N-11

S4-2

Sistema deaceptación de

orden (SoftwareBase) Interno Electrónica B (Hardware y

otros)

B-2, B-3, B-4, B-5, B-6, S-1, S-6, S-10, N-1, N-2, N-3, N-7, N-

11

S5 Almacénautomatizado Interno Maquinaria Q N-2, N-3

S6 Maquinaria deembolsado Interno Maquinaria de precisión R N-4

S7 Elevadores delalmacén Interno Industria pesada S S-9, K-5

S8 Camiones internos Interno Motores T S-7, N-9

S9 Servicio de repartoa domicilio Externo Transporte L N-9

S10 Servidores Interno Electrónica B B-1, B-2, B-3 B-4,N-1

S11 Software Clientes Interno Desarrollo Interno B1- , N-9 , B-2 , B-3

• Estudio Puntual de Fallas

• Considerando el contenido de cada operación, determinar cuanto tiempo unainterrupción puede ser tolerada.

• Describir con que frecuencia se utiliza un recurso y que tiempo una parada ointerrupción bloquea la operación.

CUADRO 5: LISTA DEL PERIODOS ACEPTABLES DE INTERRUPCION

N° Serie delRecurso Recurso

Recursos deoperaciones

utilizados porFrecuencia de uso Período aceptable de

Interrupción

S1-1 PC´s (Red) B-1 Cada día Medio día

S1-2 PC´s (Red) B-1 Cada día Medio día

B-1 Cada día Medio díaS2-1 Software (Red)

K-1 Cada día Medio día

B-1 Cada día Medio día

B-5 Cada día Medio díaS2-2Software de

administración deCompras K-1 Cada día Medio día



N° Serie delRecurso Recurso

Recursos deoperaciones

utilizados porFrecuencia de uso Período aceptable de

Interrupción


B-6 Cada noche Un díaS3 Líneas dedicadas

K-1 Cada 3 días 3 días


B-3 Cada día Medio díaS4-1 Sistema deaceptación de orden


S10 Servidores B-1 Cada día 3 horas

S11 Software Cliente B1,B3, B5 Cada día 3 horas

• Estudie y describe el estado de fabricación de los productos que constituyen recursos

• Las soluciones varían según el período asumido de la parada.

• Calcular y describir el período que se pasará hasta la recuperación del elementoafectado, basado en la información confirmada

CUADRO 6 : LISTA DE PROBLEMAS PROBABLES A OCURRIR

Resultados confirmados Juicio de compañías

N° Serie delRecurso Recurso Proveedor del

Servicio Condiciones de preparación de lasmedidas preventivas

Posibilidad delproblema

Periodonecesario para

larecuperación

S10 Servidores Electrónica (Red) Preparación de las medidaspreventivas Pequeña 3 Horas

S11-1 Desarrollo (Red) Preparación de las medidaspreventivas Pequeña 3 horas

S11-2

SoftwareClientes Electrónica O

(Fax)Equipos listos para los problemas

de los sistema de información Pequeña 3 horas

S3 Líneas dedicadas Teléfono A (Red) Preparación de las medidaspreventivas

Pequeña Medio día

S4-1Desarrollo

interno(aplicación)

Preparación de las medidaspreventivas Media 2 días

S4-2

Sistema deaceptación de

orden ( SoftwareBase ) Electrónica B

(Hardware)Preparación de las medidas

preventivas Pequeña 5 días

S5 Almacénautomatizado Industrial Q Preparación de las medidas

preventivas Pequeña 2 días

S7 Elevadores delalmacén

Industria pesadaS

Las partes que pueden tenerproblemas son reemplazadas y las

máquinas examinadasPequeña 3 días

S9Servicio dereparto adomicilio

Transporte LPreparación de las medidas

preventivas Grande 2 días

S2Sistema de

Administraciónde la Compra

Desarrollointerno(aplicación)

Preparación de las medidaspreventivas Media 7 días



ETAPA 2. Identificación de Procesos en Cada Operación

Para cada una de las operaciones críticas en la Etapa 1, se debe enumerar los procesosque tienen.

Los responsables de desarrollar los planes de contingencia deben de coordinar encooperación con el personal a cargo de las operaciones de los Sistemas Analizados, loscuales son conocedores de dichos procesos críticos.

Se debe de investigar que recursos administrativos (equipamiento, herramientas,sistemas, etc.) son usados en cada proceso, se ha descrito y codificado cada recurso,como: sistema eléctrico, tarjetas, transporte, red de datos, PC's. A su vez también se hadeterminado su novel de riesgo, como críticos y no críticos.

La tabla elaborada contiene cinco campos:

• Código de procedimientos• Procesos• Recursos Utilizados• Código del Recurso• Nivel de Riesgo

CUADRO 7. PROCESOS DEL AREA ANALIZADA (E)

Código del Proceso Procesos Plan de Contingencia Código delrecurso

Nivel delRiesgo

Sistema Eléctrico R1 Crítico

Red de Datos R2 Crítico

Servidores R3 Crítico

Sistemas de Gestión R4 Crítico

Impresoras R5 No Crítico

Humanos R6 No Crítico

E- 1

Proceso de losprogramas querealizan la entrada ysalida de lainformación

PC's R7 Crítico

Sistema Eléctrico R1 Crítico



PC's R7 Crítico

Impresoras R5 No Crítico


Teléfono R8 Crítico


PC's R7 Crítico



E - 2Mantenimientoadecuado de lasaplicaciones

Teléfono R8 Crítico

Mediante la siguiente tabla de costos, podremos identificar cuales son los procesos querepresentan mayor costo y posteriormente utilizar esta información para evaluar laprioridad de acciones frente a los procedimientos en nuestra tabla de prioridades.



CUADRO 8. FORMATO DE COSTOS DE CADA PROCESO

CODIGO DE PROCESO PROCESOS COSTOS REPRESENTATIVOS( US $ )

A Ventas 10,000

B Aceptación de Ordenes 500

C Envió y Reparto 2,500

D Compras 50,000

E Producción 80,000

F Estadísticas 5,000

G Elaboración de Informes de laAdministracion

1,000

Podemos personalizar nuestra tabla de costos según nuestro caso y detallarla según lomas realistamente posible, ya que de esto dependerá el darle la prioridad necesaria acierto tipo de procesos los cuales quizás no puedan ser identificadas a simple inspección.

ETAPA 3. Listar los Recursos Utilizados por las Operaciones

En esta etapa se identifica a los proveedores de los servicios y recursos usados,considerados críticos, para los procesos de cada operación en la Etapa 2.

• Se tiene que identificar los recursos asociados al Sistema de Información, basados enlos códigos del recurso descritos en la etapa 2.

• Se investiga y describe, si los recursos están dentro del Sistema de Información ofuera de este, (como compra a otros proveedores de servicios externos o productos).

• Se investiga y describe a los proveedores de servicios y recursos.

• La importancia de un mismo recurso difiere de operación en operación. Para esto seseñala a que operaciones esta relacionado el mismo recurso, esto es necesario paradeterminar las medidas preventivas para posibles problemas del Sistema deInformación.

El cuadro 9 contiene los siguientes campos:

• Código del Recurso• Recurso• Ubicación• Proveedor del Servicio• Recurso de Operaciones utilizados por



CUADRO 9. LISTA DE RECURSOS CRITICOS UTILIZADOS E

Código delRecurso Recursos Ubicación Proveedor del

Servicio Recursos Utilizados Por

S1 PC´s (Red) Interno Area de Soporte E1,E2.E3

S2Software de

Administración decompras

Interno Area de Soporte E1,E2,E3

S10 Servidores Interno Area de Soporte E1,E2,E3

S4

Software de Gestiónde órdenes (Software

de los diferentesmódulos que tiene la

organización)

Interno Area de Desarrollode Software E1

S1-2 PC's Interno Area de Soporte E1,E2,E3

Externo Proveedor E2,E3S11 Software Cliente

Interno Soporte Técnico E2,E3

ETAPA 4. Especificación de Escenarios en los Cuales Pueden Ocurrir los Problemas

• En consideración de la condición de preparar medidas preventivas para cada recurso,se ha evaluado su posibilidad de ocurrencia del problema como (alta, mediana,pequeña).

• Se calculará y describirá el período que se pasará hasta la recuperación en caso deproblemas, basados en información confirmada relacionada con los Sistemas deInformación.

Mediante el siguiente cuadro podemos elaborar la Probabilidad de fallas de cada uno delos recursos identificados

CUADRO 10. TABLA DE PROBABILIDAD DE FALLAS DE RECURSOS

Probabiliad de FallaRecursos

Alta Media Baja NingunaAlta Media Baja

S 1 X

Alta Media BajaS 2

X XAlta Media Baja

S 3X X

Alta Media BajaS 4

X XAlta Media Baja

S 10X

Alta Media BajaS 11

X

El cuadro 11 presenta los siguientes campos:• Código del Recurso• Recurso• Proveedor del Servicio



• Resultados Confirmados• Análisis de Riesgo (probabilidad del problema, período necesario para la

recuperación, frecuencia de uso)

CUADRO 11. LISTA DE PROBLEMAS PROBABLES A OCURRIR

Resultados Confirmados Análisis de RiesgoCódigo

delRecurso Recurso

Proveedor delServicio

(Oficina de Acción)

Consideraciones depreparación de las

medidas preventivas

Probabilidaddel Problema

Período Necesariopara la

Recuperación

Frecuencia de

Uso

S 1 PC´s Soporte Técnico Preparado Baja 10 minutos 24horas

S 2Software deadministraciónde compras

Area de Soporte Programada a serfinalizada en 3 meses Media/Alta 2 horas 15

horas

S 10 Servidores Area de Soporte Programada a serfinalizada en 3 meses Media/Alta 2 horas 15

horas

S 4

Software deSistemas deAceptación deórdenes

Area de Desarrollo Programada a serfinalizada en 2 meses Media/Alta 2 horas 15

horas

Proveedor Programada a serfinalizada en 2 meses Baja 2 horas 8 horas

S 11 SoftwareCliente

Soporte Técnico Programada a serfinalizada en 2 meses Baja 2 horas 2 horas

Mediante la siguiente tabla debemos de priorizar los riesgos identificados tomando encuenta tanto el impacto del riesgo como la probabilidad de una falla en el área comosigue:

CUADRO 12. TABLA MATRIZ DE PRIORIDADES DE ATENCION DE RIESGOSIm

pacto

ALTO

MEDIO

BAJO

ALTAMEDIABAJA

Prioridad 2

Prioridad 3

Prioridad 3

Prioridad 1

Prioridad 2

Prioridad 3

Prioridad 1

Prioridad 1

Prioridad 2

Probabilidad


66

En la siguiente tabla se ha descrito los procedimientos de las medidas preventivastomadas en detalle, cuando los problemas ocurren.

Las medidas preventivas se dan si se ha probado, investigado y listado los recursosnecesarios para llevarlos a cabo, tales como el equipo, manual de fallas yfuncionamiento.

La tabla 6 presenta los siguientes campos

• Orden• Procesos• Procedimiento• Recursos necesarios (medidas alternativas)

CUADRO 13. DETALLES DE MEDIDAS PREVENTIVAS DEL AREA ANALIZADA

ORDEN PROCESOS PROCEDIMIENTO RECURSOS NECESARIOS (MEDIDASALTERNATIVAS)

1

Proceso de losprogramas querealizan la entrada ysalida de lainformación

! Ingreso y recepción deexpedientes

! (cartas, oficios, informes, etc.)! Envío de los documentos a

todas las áreas de la institución! Salida de documentos(cartas,

oficios, informes, etc.)

! Puesta en funcionamiento del grupoelectrógeno

! Operaciones Manuales! Puesta en marcha de una red LAN

interna.

2Mantenimientoadecuado de lasaplicaciones

! Programación de cronogramade mantenimiento

! Elaboración de órdenes decompra y órdenes de servicios

! Puesta en funcionamiento del grupoelectrógeno.

! Comunicación con teléfonos móviles.

3

Equipamientonecesario para unfuncionamientooptimo del sistema

! Actividades de soporte técnicopara casos de fallas

! Almacén de control de bienes! Programación de

requerimientos.

! Puesta en funcionamiento del grupoelectrógeno

! Comunicación con teléfonos móviles.! Puesta en Marcha de una red LAN

interna.

Como paso OPCIONAL, se pueden mostrar los riesgos en la Matriz de Análisis de Riesgo.Cada riesgo se coloca en el rectángulo. Esto corresponde a la evaluación del impacto yprobabilidad de falla del área del riesgo

ALTASoftware de Gestión

de compras

MEDIA

BAJA PC´s

BAJA MEDIA ALTA

IMPACTO

Instituto Nacional de Estadística e Informática

Probabilidad



ETAPA 5 Determinar y Detallar las Medidas Preventivas

Se ha determinado y descrito las medidas preventivas para cada recurso utilizado en eluso y mantenimiento de los Sistemas de Información, cuando los problemas ocurran,considerando el entorno de problemas que suceden y el período de interrupciónaceptable que se estima en la etapa 4.

Si hay mas de un conjunto de medidas preventivas para un recurso, se ha determinadocual se empleara, para tomar en consideración sus costos y efectos.

Los campos principales considerados en la tabla 5 son los siguientes:• Código del Recurso• Recurso• Problema Asumido (Análisis de Riesgo)• Medidas preventivas / alternativas

CUADRO 14. LISTA DE MEDIDAS PREVENTIVAS

Problema Asumido(análisis de Riesgo) Medidas preventivas/alternativas

Código delRecurso Recurso Posibilidad de

ocurrencia delproblema

Período de paradaaceptable

EjecutadaSi o No Contenido

S1 PC´s Baja Medio día NO TransaccionesManuales

S2Software de

administración decompras

Media/Alta Medio día SI TransaccionesManuales

S3 Servidores Media/Alta Medio día SI Red Local

S4 Sistemas de Gestión Media/Alta 2 horas SI TransaccionesManuales

S11 Software cliente Baja 4 horas NO TransaccionesManuales

Impacto

ALTO

MED.

BAJO

ALTAMED.BAJA

Sistema Eléctrico



ETAPA 6. Formación y Funciones de los Grupos de Trabajo

Se debe determinar claramente los pasos para establecer los Grupos de Trabajo, desdelas acciones en la fase inicial, las cuales son importantes para el manejo de la crisis deadministración.

Los Grupos de Trabajo permanecerán en operación cuando los problemas ocurran, paratratar de solucionarlos.

Se elaborará un Organigrama de la estructura funcional de los Grupos de Trabajo.

CUADRO 15. FUNCIONES DE LOS GRUPOS DE TRABAJO DEL SISTEMAADMINISTRATIVO DE LOS SISTEMAS DE INFORMACION

Dirección Nombre Cargo Funciones

Área deAdministración Director Técnico Dirección de Administración

Especialista Encargado de la oficina deabastecimientos y servicios auxiliares

Especialista Encargado de la oficina ejecutiva depersonal

Área de Desarrollo deSoftware Director Técnico Dirección técnica de desarrollo de

software

Especialista Responsable del respaldo de lainformación Bases de Datos y Aplicaciones

EspecialistaResponsable de configuración einstalación de los programas oaplicaciones

Dirección Técnica deSoporte Director Técnico Dirección técnica de soporte técnico

Técnico Responsable de las Pcs y Servidores

Técnico Responsable del Software Base

Especialista Responsable de Correo Electrónico

Técnico Soporte Técnico a usuarios

ETAPA 7. Desarrollo de los Planes de Acción

Se estableció los días en los cuales los problemas son mas probables a ocurrir,incluyendo los sistemas de la institución, clientes, proveedores e infraestructura de laorganización. Se señala los días anunciados, cuando los problemas pueden ocurrir yotros temas.

El siguiente es un cuadro modelo donde debemos señalar exactamente las ocurrenciasde fallas y las acciones respectivas aplicadas para cada uno de nuestras realidades.



CUADRO 16. LISTA DE ACCIONES ANTE FALLAS DE RECURSOS

Códigodel

RecursoRecurso Acción Como Confirmar Operador

Programapara laacción

Localizaciónpara la acción

Ocurrenciadel Problema

S 1 Pc´sConfirmar la

ocurrencia de losproblemas

El área deadministracióncomunicara al

responsable sobrela ocurrencia del

problema

Área deAdministración

En lamañanadel día

Todas lasoficinas de la

institución

Falla de losPC´s

S 2Software de

administraciónde compras

Confirmar laocurrencia de los

problemas

El administradorde la Red

supervisará la rede informaracualquierproblema

DirecciónTécnica de

SoporteTécnico

En todo eldía

Oficinasadministrativas

Caída de lared en ciertas

áreas

S 3 Servidores deGestión


problemas

El administradorde la red

supervisará einformarácualquierproblema


Soportetécnico

En todo eldía


Caída de lared en el área

de gestión

S 10 Sistemas deGestión


problemas

El administradorde los servidores

supervisará einformarácualquierproblema


Soporte

En todo eldía


Paralización ofallas en losprogramas oaplicaciones

S 11 Software clienteConfirmar la

ocurrencia de losproblemas

Cobertura de losmedios

Área deSoporteTécnico

En el díaLugar de lapersona a

cargo

Caída delsistema en el

área deinterés.

ETAPA 8. Preparación de la Lista de Personas y Organizaciones para Comunicarse enCaso de Emergencia

Se creará un directorio telefónico del personal considerado esencial para la organizaciónen esas fechas críticas, incluyendo el personal encargado de realizar medidas preventivasy los responsables para las acciones de la recuperación y preparación de mediosalternativos.

A su vez también se creará un listado telefónico de todos los proveedores de servicio delrecurso.

Este directorio se usa para realizar comunicaciones rápidas con los proveedores deservicio del recurso, incluso con los fabricantes, vendedores o abastecedores de serviciocontraídos, si ocurren los problemas, para hacer que investiguen y que identifiquen lascausas de los problemas y que comiencen la recuperación de los sistemas



CUADRO 17. FORMATO DE LISTA TELEFONICA DEL PERSONAL ESENCIAL EN CASODE PROBLEMAS RELACIONADOS CON EL SISTEMA ADMINISTRATIVO

Función

Dirección Cargo

EmpleadoPrimer Número de

contacto

SegundoNúmero de

contactoTiempo

CUADRO 18. FORMATO DE LISTA TELEFONICA DE LOS PROVEEDORES DE SERVICIOS

Código delRecurso Recurso

Proveedor delServicio

Dpto. aCargo

Sección o Persona aCargo

NúmeroTelefónico

TABLA DE ANALISIS DE RIESGOS

Como Resultado final deberemos elaborar un cuadro donde se muestre los principalescomponentes de el plan de contingencias . En la cual podremos anotar los riesgos en elsiguiente Formato tabla de Análisis de Riesgo, la prioridad que tendrá la accione dedeterminada área afectada en función al impacto tanto funcional como de costos, asícomo también anotaremos su correspondiente estrategia de contingencia.

CUADRO 19. FORMATO TABLA DE ANALISIS DE RIESGOS

Area Afectada Riesgosidentificados Impacto Area

RelacionadaProbabilidad

de fallaArea deAcción Prioridad Estrategia de

Contingencia

Todas lasOficinas

Perdida delsoftwarecliente

Todas lasOficinas

Falla delsoftware deadministración de compras

Todas lasOficinas

Falla de losservicios dered(servidores)

Todas lasoficinas

Falla de lasPC´s



Etapa 9 . Pruebas y Monitoreo

En esta etapa hay que desarrollar la estrategia seleccionada, implantándose con todas lasacciones previstas, sus procedimientos y generando una documentación del plan.

Hay que tener en claro como pasamos de una situación normal a una alternativa, y deque forma retornamos a la situación normal. Hay situaciones en que debemos decontemplar la reconstrucción de un proceso determinado, ejemplo: por algunacircunstancia dada se determino que la facturación se realice en forma manual,restablecido el servicio que nos llevo a esta contingencia debemos tener el plan comorecuperar estos datos para completar la información que día a día utilizan las demásáreas.

Antes de realizar las pruebas, los planes deberían ser revisados y juzgadosindependientemente en lo que respecta a su eficacia y razonabilidad.

Las pruebas recomendadas para los planes de recuperación de desastres incluyen unaprueba periódica preliminar y un ensayo general, en el que se crea un simulacro de unacrisis con el fin de observar la eficacia del plan. Las actividades importantes a realizarson:

• La validación de las estrategias de continuidad de los negocios de una unidad denegocios.

• La validación en implementación de un plan (con las operaciones de la empresa y losrepresentantes de dichas operaciones)

• Realización de pruebas en cada unidad para ver la eficacia de la solución.

• La preparación y ejecución de pruebas integradas para verificar la eficacia de lasolución.

La preparación y ejecución de pruebas casos/eventos, probar las respuestas en caso desituaciones de crisis, en base a un caso en el que los eventos ocurren al azar y seintensifican en forma gradual.



Capitulo IV: Prueba de Plan de Contingencia

4.1 Introducción

Todos los planes de contingencia deben ser probados para demostrar su habilidadde mantener la continuidad de los procesos críticos de la empresa. Las pruebas seefectúan simultáneamente a través de múltiples departamentos, incluyendoentidades comerciales externas.

Realizando pruebas se descubrirán elementos operacionales que requieren ajustespara asegurar el éxito en la ejecución del plan, de tal forma que dichos ajustesperfeccionen los planes preestablecidos.

4.2 Objetivos

• El objetivo principal, es determinar si los planes de contingencia individualesson capaces de proporcionar el nivel deseado de apoyo a la sección o a losprocesos críticos de la empresa, probando la efectividad de losprocedimientos expuestos en el plan de contingencias.

• Las pruebas permiten efectuar una valoración detallada de los costos deoperación en el momento de ocurrencia de una contingencia.

4.3 Procedimientos Recomendados para las Pruebas del Plan de Contingencias,Niveles de Prueba

Se recomiendan tres niveles de prueba:

• Pruebas en pequeñas unidades funcionales o divisiones.

• Pruebas en unidades departamentales

• Pruebas interdepartamentales o con otras instituciones externas.

La premisa es comenzar la prueba en las unidades funcionales más pequeñas,extendiendo el alcance a las unidades departamentales más grandes, parafinalmente realizar las pruebas entre unidades interdepartamentales o con otrasinstituciones externas.

4.4 Métodos para Realizar Pruebas de Planes de Contingencia

a) Prueba Específica

Consiste en probar una sola actividad, entrenando al personal en una funciónespecifica, basándose en los procedimientos estándar definidos en el Plan deContingencias. De esta manera el personal tendrá una tarea bien definida ydesarrollará la habilidad para cumplirla.



b) Prueba de Escritorio

Implica el desarrollo de un plan de pruebas a través de un conjunto depreguntas típicas (ejercicios).

Características:

• La discusión se basa en un formato preestablecido.

• Esta dirigido al equipo de recuperación de contingencias.

• Permite probar las habilidades gerenciales del personal que tiene unamayor responsabilidad

Los ejercicios de escritorio, son ejecutados por el encargado de la prueba y elpersonal responsable de poner el plan de contingencias en ejecución, en unasituación hipotética de contingencia. Un conjunto de preguntas se pedirán queresuelva el personal. El encargado y el personal utilizarán el plan decontingencias para resolver las respuestas a cada situación. El encargadocontestará a las preguntas que se relacionan con la disponibilidad del personalentrenado, suficiencia de los recursos, suficiencia de máquinas, y si losrequerimientos necesarios están a la mano. Los ajustes serán hechos al plan oal ambiente determinado durante esta fase si cualquier parte del plan nocumple con los objetivos propuestos.

c) Simulación en Tiempo Real

Las pruebas de simulación real, en un departamento, una división, o unaunidad funcional de la empresa esta dirigido una situación de contingencia porun período de tiempo definido.

• Las pruebas se hacen en tiempo real

• Es usado para probar partes específicas del plan

• Permite probar las habilidades coordinativas y de trabajo en equipo de losgrupos asignados para afrontar contingencias.

4.5 Preparaciones Pre Prueba

• Repasar los planes de contingencia seleccionados para probar.

• Verificar si se han asignado las respectivas responsabilidades.

• Verificar que el plan este aprobado por la alta dirección de la institución.

• Entrenar a todo el personal involucrado, incluyendo orientación completa delos objetivos del plan, roles, responsabilidades y la apreciación global delproceso.

• Establecer la fecha y la hora para la ejecución de la prueba.

• Desarrollar un documento que indique los objetivos, alcances y metas de laprueba y distribuirlo antes de su ejecución.

• Asegurar la disponibilidad del ambiente donde se hará la prueba y del personalesencial en los días de ejecución de dichas pruebas.



• No hacer «over test»—la meta es aprender y descubrir las vulnerabilidades, nogenerar fracaso y frustración.

• La prueba inicial se enfoca principalmente en entrenar al equipo que ejecutarácon éxito el plan de contingencias, solucionando el problema y reestableciendoa la normalidad las actividades realizadas.

• Enfocar los procesos comerciales críticos que dependen de sistemasespecíficos o compañías externas donde se asume que hay problemas.

• Definir el ambiente donde se realizaran las reuniones del equipo derecuperación de contingencias.

• Distribuir una copia de la parte del Plan de Contingencias a ser ejecutado.

4.6 Comprobación de Plan de Contingencias

La prueba final debe ser una prueba integrada que involucre secciones múltiples einstituciones externas. La capacidad funcional del plan de contingencia radica en elhecho, de que tan cerca se encuentren los resultados de la prueba con las metasplanteadas. El siguiente diagrama de bloques representa los pasos necesarios, parala ejecución de las pruebas del plan de contingencias. La figura adjunta muestra lospasos necesarios para hacer la comprobación del Plan de Contingencias.

4.7 Mantenimiento de Plan de Contingencias y Revisiones

Las limitaciones y problemas observados durante las pruebas deben analizarseplanteando alternativas y soluciones, las cuales serán actualizadas en el Plan deContingencias.



Ejemplo. Hoja de Operación del Plan

PROCESO DE PRUEBAS DEL PLAN DE CONTINGENCIAS

Identificar al Personalque hará la prueba

Inicio

Preparar el plan de pruebas

Observar el comportamientodel Plan

Analizar los resultados de laspruebas. Hacer reportes

¿El Plan estáOK?

Enviar al comité técnicoresponsable el reporte de

pruebas

Revisar el Plan

¿Reexaminar?

¿ Más planesa probar?

Continuarprobando otros

planes

¿Existen másniveles para

probar?

Enviar la copia a la oficinaresponsable

Plan Aprobado

Sí

No

Sí

No

Si

No

No

Sí

Si

No

¿El Plan depruebas escorrecto?

Iniciar el plande

mantenimiento

Iniciar elsiguiente nivel

de pruebas



Este formato se propone para describir el escenario real donde se hará la prueba.Documentará el día de la semana y la hora (si es necesario) de ocurrencia delacontecimiento. La “Descripción del Evento/Mensaje” define los eventos delincidente presentados en el departamento, los cuales se deben solucionar. Lassoluciones deben ser coincidentes con los planes de contingencia previamenteaprobados. El ‘ítem #‘ debe ser utilizado por los observadores y los evaluadorespara realizar identificaciones, dar respuestas a los acontecimientos y a los mensajesespecíficos mientras estos ocurren.

4.8 Entorno de las Pruebas del Plan de Contingencias

La siguiente estructura de entorno se sugiere para la documentación del plan depruebas:

1. Pruebas de objetivos y alcances.2. Pruebas metodológicas.3. Precisar equipos y recursos.4. Demanda de personal capacitado.5. Detallar itinerarios y localizaciones.6. Control del Proceso.8. Objetivos trazados a partir del control.10. Control de la evaluación y observaciones.

Fecha / Tiempo Significadodel Día

Item # Descripción delEvento/Mensaje

24/02/0110.45 a.m.

Día Feriado 101 Se perdieron los accesosa las bases de datos, losdocumentos secorrompieron; algunosdiscos duros se borrarontotalmente.

Día Normal 102 Problemas en las ventasLas facturas nopueden ser generadas.

Etc.



RESUMEN DE LA PRUEBA DEL REPORTE DE ESCRITORIO (DESKTOP/TABLETOPEXERCISE)

Obligación de Mitigar los Daños

Es importante recordar que si los sistemas de Información de una compañía fallan yesto da como resultado pérdidas o daños, entonces la compañía tiene unaobligación de evitar la acumulación innecesaria de daños adoptando las medidasnecesarias para mitigar dichos daños. De igual manera, si ocurren pérdidas a raízde las acciones de terceros, es posible que la compañía no recupere los daños quea sabiendas permitió que aumentaran. En otras palabras, las compañías no debenconfiar en el hecho de que inicialmente no fue su culpa y simplemente suponer quela parte culpable se responsabilizará de todas las pérdidas y daños resultantes. Lacompañía debe adoptar algún tipo de acción para minimizar el impacto sobre susnegocios, y los daños a la propiedad, resultantes de una falla del sistema deinformación.

En la práctica, un plan de contingencia puede y debe ser visto como unaherramienta para cumplir con esta obligación legal: el plan resumirá los pasos quela compañía dará para mitigar sus daños en caso de que ocurra una falla. Porsupuesto que la falta de un plan no eliminará la obligación de mitigar, y el hecho deque no haya un plan podría ser empleado en contra de la compañía en un litigio

1 . - Pru ebas de alcances yobjet iv os

El est ado qu e se piensa lograr t ras larealización de las pru ebas.

2 . - Pruebas m et odológic as Pro porc iona una descr ipc ió n del t ipod e prueba que se realizará.

3 . - Prec isar equipos y recursos Ident if ica y est ab lec e lo necesar io.

4 . - D em anda de person alc apacit ado

Enu m era y desc rib e e l perso nal y lasnecesidad es de c ap ac itació n.

5 . - D et allar it in erar ios ylocalizacion es

D esarrolla las t areas, lím it es, y lasresponsabilidad es qu e m u est ran elplan para la ejec ución de la p rueba.

6 . - Cont rol del proceso Describ e la dispo sic ión; desarrollo d elesc en ario de ensay o, yproc edimient os

7 . - C ont rol de la ac ción d elt iem po

Det alla la sec uenc ia de ev ent os parala pru eba.

8 . - Objet iv os t razados a p art irdel con trol

Def ine las m edidas de éx it o para laprueba.

9 . - Cont rol de person al D ef ine los proc edim ient os parat erm inar, suspen der , y reiniciar laprueba. .

1 0 . - Pruebas de ev alu ac ió n yobserv acion es

Det alla lo s result ad os de la ev aluac ióny de la observ ac ión, ad em ás p lan esde ac ción alt ernado s para rec t if ic arf allas.



subsecuente como evidencia de que no adoptó las medidas suficientes paraminimizar el daño incurrido. Los peritos podrían atestiguar que el plan decontingencia para el sistema de información era necesario, y que la ausencia de unplan era irrazonable y que el acusado no debería sufrir las consecuencias.

Para complicar aún más las cosas, un plan de contingencia debería tomar en cuentatambién cualquier otro sistema para la determinación de prioridades que pudierahaber sido utilizado por una compañía, u otros procesos utilizados para enfocar lossistemas que tienen una importancia crítica para la misión. El “sistema paradeterminar prioridades” se refiere a la práctica utilizada durante la guerra de separara los soldados heridos en categorías, poniendo a un lado a los que probablementesobrevivirían aún sin atención médica, aquellos que probablemente morirían sinimportar lo que se hiciera por ellos, y aquellos para los cuales la atención médicaera de importancia crítica; la atención médica se centraba en las personas que seencontraban en esta última categoría.

Suponga que la Compañía X, presionada por el tiempo, ha decidido arreglar ciertossistemas considerados críticos para su misión, e ignorar otros. Probablemente lacompañía X necesitará un plan de contingencia para resolver cualquier problema yque se salven los sistemas considerados críticos para su misión — si los sistemasson tan críticos se necesitan todas las precauciones debidas— ¿pero que ocurrecon los sistemas que han sido ignorados? Los sistemas ignorados podríanocasionar daños y en efecto podrían convertirse en el foco — y tal vez el único foco—de cualquier proceso legal subsecuente. ¿La Compañía X tiene una explicaciónsuficientemente adecuada para ser presentada ante un jurado, para respaldar sudecisión de escoger los sistemas que consideraba críticos para su misión?

Por el contrario, para aquellos sistemas que no se consideraban críticos para sumisión, ¿la compañía implementó por lo menos un plan para minimizar el impactode cualquier falla en dichos sistemas? De no ser así, la Compañía X se encontraráen una situación poco envidiable de tratar de explicar potencialmente ante unacorte por qué no debería ser responsable por la falla de un sistema de computaciónque explícitamente decidió no reparar y que sabía que probablemente nofuncionaría ante un problema, y simultáneamente no adoptó ninguna acción (através de un plan de contingencia) para minimizar el impacto de las fallas de lossistemas sobre terceros. Sabíamos que era probable que ocurran problemas, perono hicimos nada.

Dos lecciones claves surgen. Primero, es importante evaluar los impactoseconómicos de los sistemas de computación, y utilizar el plan de contingenciacomo un vehículo para mitigar las pérdidas económicas tanto para el negocio comopor razones legales. Segundo, el plan de contingencia debería enfocar nosolamente los sistemas considerados críticos para la misión. Debería enfocar todoslos sistemas, y hasta cierto grado el plan de contingencia puede ser aún másimportante desde el punto de vista legal para las aplicaciones no críticas que seespera que fallen.



Meta : Documentación de un Plan

Por supuesto que un plan de contingencia tiene un valor limitado desde el punto devista comercial o legal, si no fue redactado por escrito y si no se mantieneadecuadamente en lugares de fácil acceso para el personal clave. Generalmente,para propósitos legales — para evitar y defender cualquier alegato de negligencia ofalta de cuidado debido — es de importancia crítica que los planes de contingenciasean revisados apropiadamente para que se adecuen al sistema de información,con los jefes de equipo y los funcionarios y/o los miembros de las juntas directivasy además que dichas acciones sean tomadas con una anticipación suficiente antecualquier problema, con el fin de permitir el tiempo suficiente para los comentarios,reacciones e implementación de las mismas, ya que un plan de contingenciarequiere de negociación y seguimiento. Además, si se decide que no se necesitaningún plan de contingencia, esa decisión debería estar adecuadamentedocumentada y explicada a la luz de la atención que se está dando actualmente alos planes de contingencia. En última instancia, la compañía querrá evitar cualquierresponsabilidad individual de sus directores y funcionarios bajo el reglamento del“juicio de la empresa”, aseverando que todas sus decisiones en cuanto a la formade manejar las contingencias del Sistema de Información fueron debidamenteconsideradas, y/o que se basó en las opiniones de los expertos en los que lacompañía razonablemente confió para formular un plan de contingencia.

Después de la documentación del Plan de Contingencia y su aprobación por elcomité técnico a cargo de dicho plan, las copias se distribuyen a todas las áreas dela organización.



Anexos

CRITERIOS SOBRE SISTEMAS DE INFORMACION EN INTERNET

La seguridad es uno de los aspectos más conflictivos del uso de las tecnologías dela información. Es suficiente comprobar cómo la falta de una política de seguridad globalestá frenando el desarrollo de Internet en áreas tan interesantes y prometedoras, como elcomercio electrónico o la interacción con las administraciones públicas.

Los recientes avances en las telecomunicaciones y en la computación en red hanproporcionado la aparición de canales rápidos para la propagación de datos a través desistemas digitales. Las redes abiertas están siendo utilizadas cada vez más como unaplataforma para la comunicación en nuestra sociedad, pues permiten rápidos y eficientesintercambios de información con un bajo coste económico asociado y con una fácilaccesibilidad.

El desarrollo actual y las perspectivas de futuro de las "superautopistas de datos" yde una infraestructura global de información, es decir, de Internet y de la World WideWeb (WWW), crean toda una variedad de nuevas posibilidades. Sin embargo, larealización efectiva de tales posibilidades están influidas por las inseguridades típicas delas redes abiertas: los mensajes pueden ser interceptados y manipulados, la validez delos documentos se puede negar, o los datos personales pueden ser recolectados deforma ilícita. Como resultado, el atractivo y ventajas ofrecidas por la comunicaciónelectrónica, tanto en el desarrollo de oportunidades comerciales entre organizacionesprivadas como en las interrelaciones entre las organizaciones públicas y los ciudadanos,no pueden ser explotadas en su totalidad.

SISTEMA

ATAQUE

ATAQUE

ATAQUE

INFORMACIONRECURSOS

REDES

Es por esto tener en cuenta dentro de nuestro plan de contingencia la operatividadde un firewall para impedir el acceso a usuarios del exterior que no tengan autorización,ya que esto podría ser perjudicial para el servicio de nuestros servidores de red.



CONCLUSION

• Dependiendo del tamaño de la institución u organización se tendrá que realizarparalelamente un plan de contingencia por cada módulo del sistema deInformación.

• Adicionalmente al plan de contingencias se debe desarrollar pruebas para verificarla efectividad de las acciones en caso de la ocurrencia de los problemas y tener laseguridad de que se cuenta con un método seguro.

• No existe un plan único para todas las organizaciones, esto depende mucho de lacapacidad de la infraestructura física como de las funciones que realiza en CPD(Centro de Procesamiento de Datos) mas conocido como Centro de Cómputo.

BIBLIOGRAFIA

• Y2K A CONTINGENCY PLANNING GUIDEMETA Group Inc.

• YEAR 2000 COMPUTING CRISIS: BUSINESS CONTINUITY AND CONTINGENCYPLANNINGUnited States General Accounting Office

• CONTINGENCY PLANS FOR THE YEAR 2000 COMPUTER PROBLEMSeminar on the year 2000 ComputerMasahito Nakamura

GUIA DE USUARIO – Planes de Contingencia y Seguridad Informática Pág. 1

ANEXO - F

Manual de Usuario CD Interactivo


Introducción: El presente CD Interactivo, le permite aumentar sus conocimientos en la creación de planes de contingencia, cubriendo los siguientes áreas: Identificación y evaluación de riesgos como parte de un plan de Seguridad, documentación e implementación del plan de contingencia en general para cualquier tipo de empresa. Después de haber leído toda la metodología para la creación de planes de contingencia, encontrara una auto evaluación para probar los conocimientos adquiridos, por otra parte tendrá la opción de imprimir toda la documentación presentada y el cuestionario de la evaluación juntamente con las respuestas para respaldar sus conocimientos adquiridos en tema de Planes de contingencia. En cuanto al tema de Seguridad, este producto realiza una validación de las respuestas proporcionadas en el cuestionario para la evaluación de Seguridad dentro de su empresa, ya que al finalizar la prueba, el CD le proporcionara una recomendación acorde a las respuestas obtenidas previamente, las cuales podrán ser consideradas, para implementarlas dentro de su empresa. Este documento proporciona la información principal que necesita para operar el producto y algunos datos adicionales sobre su funcionamiento. OBJETIVO GENERAL

Servir al usuario como guía para llevar a cabo cualquier transacción el sistema.

OBJETIVOS ESPECÍFICOS

• Que le guié al usuario en le desarrollo de sus actividades

• Servir como una ayuda para el usuarios

INSTRUCCIONES DE USO 1. Introduzca el CD Interactivo PLACONSI en la unidad de CDROM de su PC o

laptop.

2. El CD se autoejecutara y presentara una Introducción.

3. Después de la Introducción, aparecerá la pantalla de HOME de PLACONSI con

las siguientes funciones:

Opciones del HOME

3.1 Seguridad informática

3.2 Plan de contingencia

3.3 Manual

3.4 Tips

3.5 Glosario

3.6 Recursos de impresión

3.7 Acerca del CD…

3.8 Salir

3.6 Recursos de impresión

3.7 Acerca del CD

3.8 Salir

3.1 Seguridad

3.2 Plan de Contingencia

3.3 Manual

3.4 Tips

3.5 Glosario


FUNCIONALIDAD DE PLACONSI

3.1 Seguridad Informática

Presentara una pequeña introducción de seguridad informática.

3.1.1 Presione el botón siguiente para ver la siguiente pantalla. Seguidamente

Presentara seis preguntas de una en una para que seleccione una

respuesta SI o NO, como lo vera en la siguiente pantalla,

3.1.2 Después de haber contestado las seis preguntas, aparecerá una

recomendación basada en las respuestas previas a las preguntas del

cuestionario, como lo vera en la pantalla siguiente.

3.1.2.1 En la parte superior de la pantallas cuenta con el Botón VOLVER por

si desea regresar a la pantalla anterior

3.1.2.2 Si desea Ir al HOME del CD en la parte superior de la pantalla se

encuentra un Botón INICIO

3.1.2.3 Si desea salir del CD presione el botón SALIR que se encuentra en la

parte inferior derecha de la pantalla

Click en Siguiente

Opción que lo llevara a la siguientes preguntas

de evaluación


3.1.3 Según la selección de respuestas, Placonsi le mostrara 64 posibles

recomendaciones como la anterior, basado en un factorial de 6.

3.1.4 En la parte superior derecha se presenta el botón INICIO, al presionarlo

lo llevara a la pantalla introducción de Seguridad Informática.

3.1.5 En la parte superior centro de la pantalla vera la palabra PLACONSI, al

presionarla lo llevara a la pantalla Home del CD

3.2 Plan de contingencia

Presentará un Home y una pequeña introducción de planes de contingencia con

tres opciones:

3.2.1 Metodología para la creación de Planes de Contingencia

3.2.2 Ejemplo de Planes de Contingencia

3.2.3 Recursos de impresión

3.2.1 Metodología para la creación de planes de contingencia

• Presentara una introducción sobre la metodología para la creación de

planes de contingencia

Botón Volver lo lleva al inicio

de la evaluación Botón Inicio lo lleva al HOME

3.2.1 Metodología para Planes de Contingencia

3.2.2 Ejemplo de Planes de Contingencia

3.2.3 Recursos de Impresión


• Después de haber leído la introducción sobre la creación de planes de

contingencia, presione el botón Continuar para ver la siguiente pantallas

que contiene los siete pasos para la elaboraron de un plan contingencia.

• En la parte superior de la pantallas cuenta con el Botón VOLVER por si

desea regresar a la pantalla anterior

• Si desea Ir al HOME del CD en la parte superior de la pantalla se encuentra un

Botón INICIO

• Si desea salir del CD presione el botón SALIR que se encuentra en la parte

inferior derecha de la pantalla

• Haga clic en cada una de las siete opciones anteriores y en cada opción

aparece un texto que le ayudara a conocer mas sobre las etapas de la

creación de planes de contingencia.

• Después de haber leído y entendido las siete etapas para la elaboración de

un plan de contingencia, podrá probar sus conocimientos haciendo clic en

el botón Desea evaluar sus conocimientos, como lo vera en la

pantalla siguiente



• Si desea Ir al HOME del CD en la parte superior de la pantalla se

encuentra un Botón INICIO

• Si desea salir del CD presione el botón SALIR que se encuentra en la

parte inferior derecha de la pantalla

Presione el botón Continuar

1. Identificación de Riesgos

2. Evaluación de riesgos

3. Asignación de prioridadesa las aplicaciones

4. Establecimiento de los requerimientos de recuperación

5. Elaboración de la documentación

6. Verificación e implementación del plan

7. Distrib. Y mantenimiento del plan


• Seguidamente aparecerá una serie de preguntas relacionadas a los siete

etapas estudiadas anteriormente, en cada pregunta tiene varias opciones para

que solo seleccione la respuesta correcta, como lo vera en la pantalla

siguiente.




Botón INICIO



• Presione el botón siguiente para continuar con el resto de la auto

evaluación.

• Si selecciona alguna de las respuestas equivocadas, no podrá pasar a la

siguiente evaluación, la pantalla de error que le mostrara es la siguiente.

• Deberá contestar las 32 preguntas y al final le mostrara una pantalla de

que a terminado la evaluación, como la siguiente pantalla

Presione aquí para realizar la auto evaluación

Click en Siguiente


• Al seleccionar Volver al evaluar lo llevara al inicio de la evaluación

• Al seleccionar Ir al menú, lo llevara al menú principal Home




Botón INICIO



3.2.2 Ejemplo de planes de Contingencia

• En esta opción podrá escuchar mediante grabación todo el detalle como

ejemplo de la creación de un plan de contingencia, el cual se forma por:

Plan de seguridad (Identificación de riesgos) y un Plan de recuperación de

desastre

• Este ejemplo tiene una duración aproximada de 40 minutos.

• Si desea adelantas/atrasar o detener/producir la grabación tiene los

controladores de audio justo debajo de la imagen de la laptop.

• En el monitor de la izquierda podrá ver imágenes acorde a la grabación,

capturando las ideas principales.

• Debajo de ese 2do monitor a la izquierda tiene las opciones del Menú

principal por si desea salir de la opción donde se encuentra y navegar a

diferentes opciones de PLACONSI.

• Sino posee audio podrá imprimir el contenido del ejemplo de plan de

contingencia en la opción Recursos de Impresión.

Volver a Evaluar Ir al Menú

Opciones del audio para oír el ejemplo de plan de contingencia


3.3 Manual

En esta opción tiene como finalidad guiar al usuario en los pasos y procedimientos

que debe seguir para optimizar la navegación en el CD Interactivo PLACONSI.

Este manual será de gran utilidad pues está diseñado de manera tal que cualquier

usuario con mucha o poca experiencia en Navegación en CD Interactivos puedan

sacar provecho de su contenido.

3.4 Tips

En esta opción encontrará consejos prácticos que podrá implementar en su red

informática.

3.5 Glosario

• Presenta una pequeña introducción sobre el uso del mismo

• Clic en INGRESAR

• En el centro aparecerá aun recuadro y en la parte superior observara las

letras del alfabeto para que seleccione la letra inicial de la palabra que

busca.

• Una segunda forma de búsqueda es digitar la palabra deseada o las

iniciales de ella en la casilla del formulario y luego hace clic en Buscar

• Seguidamente aparecerá el concepto deseado en el recuadro ubicado de la

parte derecha de la pantalla que lleva por nombre Descripción

• Como tercera forma de búsqueda aparecerá un listado de palabras

para que seleccione la que desee.

• Para ir al HOME nuevamente deberá hacer clic en la palabra PLACONSI

ubicada en la parte superior céntrica de la pantalla.


• Salir.

o Aparecerá un mensaje antes de sacarlo de la sesión “GRACIAS

POR UTILIZAR PLACONSI” ¿Esta seguro que desea salir? SI NO

o Si selecciona SI, inmediatamente lo saca de la sesión de

PLACONSI

• Si le selecciona NO, se desaparece la pantalla y lo deja seguir navegando

en PLACONSI

3.6 Recursos de Impresión

• El icono del tintero y la pluma de color morado, identifica la opción de

Recursos de Impresión

• Cuenta con cuatro opciones de documentos a imprimir: Metodología para

el plan de contingencia, Ejemplo de planes de contingencia, las

Evoluciones realizadas y las recomendaciones genéricas sobre

contingencias

• Inmediatamente se abre una pantalla en PDF para cada una de las

opciones antes mencionadas, en la que podrá realizar lo siguiente:

a. Imprimir dicho documento

b. Aumentar el fuente de la letra para una mejor

lectura desde la pantalla

c. Realizar búsqueda por palabras en todo el

documento


• Si desea ir al Home, debe hacer clic en INIICO, ubicado en la parte superior

de la pantalla

• Si desea salir de PLACONSI, en la parte inferior derecha tiene la opción SALIR,

solo debe hacer clic sobre dicha palabra.

3.7 Acerca del CD…

• Presentara los créditos, agradecimientos y derechos reservados de la

Universidad Francisco Gavidia


ubicada en la parte superior céntrica de la pantalla


ubicada en la parte superior céntrica de la pantalla

• Para Salir presione el botón SALIR ubicado en la parte inferior derecha

3.8 SALIR.

Cada vez que presione el botón salir en cualquiera de las pantallas de

PLACONSI aparecerá la siguiente pantalla para confirmar que si desea Salir.


• Si desea salir de PLACONSI, presione el botón SALIR.

• Si desea volver a PLACONSI, presione el botón volver

fusion tesis final marzo-26-2007-jb 0000...

Documents